Software Delivery Shield – Übersicht

Software Delivery Shield ist ein vollständig verwaltetes End-to-End-Softwareangebot, Sicherheitslösung einer Kette. Sie bietet eine umfassende und modulare Reihe von Funktionen und Tools für Google Cloud-Produkte, mit denen Entwickler, DevOps- und Sicherheitsteams die Sicherheit der Softwarelieferkette verbessern können.

Software Delivery Shield besteht aus:

  • Google Cloud-Produkte und -Funktionen, die Best Practices für die Sicherheit bei Entwicklung, Build, Tests, Scans, Bereitstellung und Richtliniendurchsetzung umfassen.
  • Dashboards in der Google Cloud Console mit Sicherheitsinformationen zu Quellcode, Builds, Artefakten, Bereitstellungen und Laufzeit Dazu gehören Sicherheitslücken in Build-Artefakten, die Herkunft des Builds und die Abhängigkeitsliste der Software Bill of Materials (SBOM).
  • Informationen zur Reife der Sicherheit Ihrer Softwarelieferkette anhand des Frameworks „Supply Chain Levels for Software Artifacts“ (SLSA).

Komponenten von Software Delivery Shield

Das folgende Diagramm zeigt, wie die verschiedenen Dienste in Software Delivery Shield zusammenarbeiten, um Ihre Softwarelieferkette zu schützen:

Ein Diagramm mit den Komponenten von Software Delivery Shield

In den folgenden Abschnitten werden die Produkte und Funktionen der Software Delivery Shield-Lösung erläutert:

Komponenten zur sicheren Entwicklung

Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz der Softwarequelle bei Code:

  • Cloud Workstations

    Cloud Workstations bietet vollständig verwaltete Entwicklungsumgebungen auf Google Cloud Es ermöglicht IT- und Sicherheitsadministratoren, ihre Entwicklungsumgebungen bereitzustellen, zu skalieren, zu verwalten und zu sichern. Außerdem können Entwickler mit einheitlichen Konfigurationen und anpassbaren Tools auf Entwicklungsumgebungen zugreifen.

    Cloud Workstations verbessert die Sicherheit den Sicherheitsstatus Ihrer Anwendungsentwicklungsumgebungen. Es bietet Sicherheitsfunktionen wie VPC Service Controls, privaten eingehenden und ausgehenden Traffic, erzwungene Image-Updates und IAM-Zugriffsrichtlinien. Weitere Informationen finden Sie in der Dokumentation zu Cloud Workstations

  • Cloud Code Source Protect (Vorabversion)

    Cloud Code bietet IDE-Unterstützung zum Erstellen, Bereitstellen und Einbinden von Anwendungen in Google Cloud. Damit können Entwickler eine neue Anwendung aus Beispielvorlagen erstellen und anpassen sowie die fertige Anwendung ausführen. Cloud Code Source Protect bietet Entwicklern Sicherheitsfeedback in Echtzeit, z. B. zur Identifizierung von Schwachstellen Abhängigkeiten und Lizenzberichte, da sie in ihren IDEs funktionieren. Sie bietet schnelles und umsetzbares Feedback, das es Entwickelnden ermöglicht, ihren Code zu Beginn des Softwareentwicklungsprozesses.

    Verfügbarkeit der Funktion: Der Cloud Code-Quellcodeschutz ist nicht für den öffentlichen Zugriff verfügbar. Informationen zum Zugriff auf diese Funktion finden Sie auf der Seite Zugriffsanfrage.

Komponenten zur Sicherung der Softwarebereitstellung

Die Sicherheit der Softwarebereitstellung – Build-Artefakte und Anwendungsabhängigkeiten – ist ein wichtiger Schritt zur Verbesserung der Sicherheit der Softwarelieferkette. Die weit verbreitete Verwendung von Open-Source-Software macht dieses Problem besonders schwierig.

Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz von Build-Artefakten und Anwendungsabhängigkeiten bei:

  • Assured OSS

    Mit dem Assured OSS-Dienst können Sie auf OSS-Pakete zugreifen, die von Google geprüft und getestet wurden, und diese einbinden. Es bietet Java- und Python-Pakete, die mit den sicheren Pipelines von Google erstellt werden. Diese Pakete werden regelmäßig gescannt, analysiert und auf Sicherheitslücken geprüft. Weitere Informationen finden Sie in der Dokumentation zu Assured-Open-Source-Software

  • Artifact Registry und Artefaktanalyse

    Mit Artifact Registry können Sie Build-Artefakte verwalten und Artefaktanalyse erkennt Artefakte in Artifact Registry proaktiv. Artifact Registry bietet die folgenden Funktionen, um die Sicherheit Ihrer Softwarelieferkette zu verbessern:

Komponenten zum Schutz der CI/CD-Pipeline

Angreifer können Softwarelieferketten angreifen, indem sie die CI/CD manipulieren Pipelines. Die folgenden Komponenten von Software Delivery Shield tragen zum Schutz der CI/CD-Pipeline bei:

  • Cloud Build

    Cloud Build führt Ihre Builds in der Google Cloud-Infrastruktur aus. Sie bietet Sicherheitsfunktionen wie detaillierte IAM-Berechtigungen, VPC Service Controls und isolierte und sitzungsspezifische Build-Umgebungen. Darüber hinaus bietet er die folgenden Funktionen, um den Sicherheitsstatus Ihrer Softwarelieferkette zu verbessern:

    • Unterstützt SLSA Level 3-Builds für Container-Images
    • Es generiert eine authentifizierte und fälschungssichere Build-Herkunft für containerisierte Anwendungen.
    • Hier werden Sicherheitsinformationen für erstellte Anwendungen angezeigt. Dazu zählen:
      • Der SLSA-Build-Level, der den Reifegrad Ihrer Software angibt in Übereinstimmung mit der SLSA-Spezifikation
      • Sicherheitslücken in Build-Artefakten
      • Build-Herkunft, eine Sammlung überprüfbarer Metadaten zu einem Build. Sie enthalten Details wie die Digests der erstellten Images, die Quell-Speicherorte, die Build-Toolchain, die Build-Schritte und die Build-Dauer.

    Eine Anleitung zum Ansehen von Sicherheitsstatistiken für erstellte Anwendungen finden Sie unter Anwendung erstellen und Sicherheitsstatistiken ansehen.

  • Cloud Deploy

    Cloud Deploy automatisiert die Bereitstellung Ihrer Anwendungen in einer Reihe von Zielumgebungen in einer definierten Reihenfolge. Es unterstützt Continuous Delivery direkt in Google Kubernetes Engine, GKE Enterprise und Cloud Run mit Genehmigungen und Rollbacks mit nur einem Klick, Enterprise Sicherheit und Audit sowie integrierte Messwerte für die Bereitstellung. Außerdem Sicherheitsinformationen für bereitgestellte Anwendungen

Komponenten zum Schutz von Anwendungen in der Produktion

GKE und Cloud Run den Sicherheitsstatus Ihrer Laufzeitumgebungen. Beide bieten Sicherheitsfunktionen, um Ihre Anwendungen zur Laufzeit zu schützen.

  • GKE

    GKE kann den Sicherheitsstatus von Containern bewerten und Informationen zu Clustereinstellungen, Arbeitslastkonfiguration und Sicherheitslücken. Es umfasst das Dashboard für den Sicherheitsstatus, mit dem Ihre GKE-Cluster und -Arbeitslasten, um Ihnen umsetzbare Empfehlungen zur Verbesserung Ihres Sicherheitsstatus. Anleitungen zum Ansehen von Sicherheitsinformationen im GKE-Sicherheitsstatus Dashboard finden Sie unter In GKE bereitstellen und Sicherheitsinformationen ansehen

  • Cloud Run

    Cloud Run enthält einen Sicherheitsbereich, in dem Software Informationen zur Sicherheit der Lieferkette, wie z. B. die Compliance-Informationen auf der SLSA-Build-Ebene, Build-Herkunft und Schwachstellen, die in ausgeführten Diensten gefunden wurden. Eine Anleitung zum Aufrufen von Sicherheitserkenntnissen im Bereich „Sicherheitserkenntnisse“ von Cloud Run finden Sie unter In Cloud Run bereitstellen und Sicherheitserkenntnisse ansehen.

Vertrauenskette durch Richtlinien aufbauen

Mit der Binärautorisierung können Sie eine Vertrauenskette schaffen, Ihre Softwarelieferkette durch Einholen von Bescheinigungen, die digital sind Dokumente zur Zertifizierung von Bildern. Eine Attestierung besagt, dass die zugehörige Image wurde durch erfolgreiches Ausführen eines bestimmten, erforderlichen Prozesses erstellt. Basierend auf Mit der Binärautorisierung definieren, verifizieren und vertrauenswürdige Richtlinien durchzusetzen. Das Image wird nur bereitgestellt, wenn die Attestierungen der Richtlinie Ihrer Organisation entsprechen. Dieser Wert kann auch auf Sie werden benachrichtigt, wenn Richtlinienverstöße festgestellt werden. Attestierungen können beispielsweise geben an, dass ein Bild

Sie können die Binärautorisierung mit GKE und Cloud Run

Preise

Die folgende Liste verweist auf die Preisinformationen für die Dienste im Software Delivery Shield-Lösung:

Nächste Schritte