Panoramica di Software Delivery Shield

Software Delivery Shield è una soluzione end-to-end per la sicurezza della catena di fornitura del software completamente gestita. Fornisce un insieme completo e modulare di funzionalità e strumenti nei prodotti Google Cloud che sviluppatori, DevOps e team di sicurezza possono utilizzare per migliorare l'approccio alla sicurezza della catena di fornitura del software.

Software Delivery Shield è composto da:

• Prodotti e funzionalità Google Cloud che incorporano le best practice di sicurezza per sviluppo, creazione, test, scansione, deployment e applicazione dei criteri.
• Dashboard nella console Google Cloud che mostrano informazioni sulla sicurezza relative a origine, build, artefatti, deployment e runtime. Queste informazioni includono vulnerabilità negli artefatti della build, nella provenienza della build e nell'elenco delle dipendenze della Bill of Materials (SBOM).
• Informazioni che identificano il livello di maturità della sicurezza della catena di fornitura del software utilizzando il framework SLSA (Supply chain Levels for Software Artifacts).

Componenti di Software Delivery Shield

Il seguente diagramma illustra in che modo i diversi servizi all'interno del Software Delivery Shield interagiscono per proteggere la catena di fornitura del software:

Le seguenti sezioni descrivono i prodotti e le funzionalità che fanno parte della soluzione Software Delivery Shield:

Componenti che contribuiscono a proteggere lo sviluppo

I seguenti componenti di Software Delivery Shield contribuiscono a proteggere il codice sorgente del software:

• Cloud Workstations

  Cloud Workstations fornisce ambienti di sviluppo completamente gestiti su Google Cloud. Consente agli amministratori IT e della sicurezza di eseguire il provisioning, la scalabilità, la gestione e la protezione dei propri ambienti di sviluppo e permette agli sviluppatori di accedere agli ambienti di sviluppo con configurazioni coerenti e strumenti personalizzabili.

  Cloud Workstations aiuta a spostare la sicurezza nel miglioramento della strategia di sicurezza degli ambienti di sviluppo delle applicazioni. Include funzionalità di sicurezza come i Controlli di servizio VPC, il traffico in entrata o in uscita privato, l'aggiornamento forzato delle immagini e i criteri di accesso di Identity and Access Management. Per ulteriori informazioni, consulta la documentazione di Cloud Workstations.

• Protezione dell'source protect di Cloud Code (anteprima)

  Cloud Code fornisce supporto IDE per la creazione, il deployment e l'integrazione delle applicazioni con Google Cloud. Consente agli sviluppatori di creare e personalizzare una nuova applicazione da modelli di esempio ed eseguire l'applicazione completata. La protezione del codice sorgente di Cloud Code fornisce agli sviluppatori un feedback sulla sicurezza in tempo reale, come l'identificazione delle dipendenze vulnerabili e la segnalazione delle licenze, mentre lavorano nei loro IDE. Fornisce un feedback rapido e utile che consente agli sviluppatori di apportare correzioni al proprio codice all'inizio del processo di sviluppo del software.

  Disponibilità della funzionalità: source protect Cloud Code non è disponibile per l'accesso pubblico. Per ottenere l'accesso a questa funzionalità, consulta la pagina della richiesta di accesso.

Componenti che contribuiscono a proteggere la fornitura del software

La protezione della fornitura del software, ovvero gli artefatti della build e le dipendenze delle applicazioni, è un passaggio fondamentale per il miglioramento della sicurezza della catena di fornitura del software. L'uso pervasivo del software open source rende questo problema particolarmente impegnativo.

I seguenti componenti di Software Delivery Shield consentono di proteggere gli artefatti della build e le dipendenze delle applicazioni:

• OSS di Assured

  Il servizio Assured OSS ti consente di accedere ai pacchetti OSS e di incorporarli che sono stati verificati e testati da Google. che fornisce pacchetti Java e Python creati utilizzando le pipeline sicure di Google. Questi pacchetti vengono regolarmente analizzati, analizzati e testati per rilevare eventuali vulnerabilità. Per ulteriori informazioni, consulta la documentazione del software open source Assured.

• Artifact Registry e Artifact Analysis

  Artifact Registry ti consente di archiviare, proteggere e gestire gli artefatti delle build e Artifact Analysis rileva in modo proattivo le vulnerabilità per gli artefatti in Artifact Registry. Artifact Registry fornisce le seguenti funzionalità per migliorare la postura di sicurezza della catena di fornitura del software:

  • Artifact Analysis fornisce la scansione integrata on demand o automatica per immagini container di base e pacchetti di linguaggio nei container.
  • Artifact Analysis consente di generare una distinta base del software (SBOM) e caricare istruzioni Vulnerability Exploitability eXchange (VEX) per le immagini in Artifact Registry.
  • Artifact Analysis fornisce un'analisi autonoma che identifica le vulnerabilità esistenti e le nuove vulnerabilità all'interno delle dipendenze open source utilizzate dagli artefatti Maven (anteprima). La scansione viene eseguita ogni volta che esegui il push di un progetto Java in Artifact Registry. Dopo la scansione iniziale, Artifact Analysis monitora costantemente i metadati per le immagini scansionate in Artifact Registry alla ricerca di nuove vulnerabilità.
  • Artifact Registry supporta repository remoti (anteprima) e repository virtuali (anteprima) per pacchetti Java. Un repository remoto funge da proxy di memorizzazione nella cache per le dipendenze da Maven Central, riducendo i tempi di download, migliorando la disponibilità dei pacchetti e include l'analisi delle vulnerabilità se l'analisi è abilitata. I repository virtuali consolidano i repository dello stesso formato dietro un singolo endpoint e consentono di controllare l'ordine di ricerca nei repository upstream. Puoi assegnare la priorità ai pacchetti privati, riducendo così il rischio di attacchi di confusione delle dipendenze.

Componenti che aiutano a proteggere la pipeline CI/CD

I malintenzionati possono attaccare le catene di fornitura del software compromettendo le pipeline CI/CD. I seguenti componenti di Software Delivery Shield contribuiscono a proteggere la pipeline CI/CD:

• Cloud Build

  Cloud Build esegue le build sull'infrastruttura di Google Cloud. Offre funzionalità di sicurezza come autorizzazioni IAM granulari, Controlli di servizio VPC e ambienti di build isolati e temporanei. Inoltre, fornisce le seguenti funzionalità per migliorare la strategia di sicurezza della catena di fornitura del software:

  • Supporta le build SLSA di livello 3 per le immagini container.
  • Genera la provenienza della build autenticata e non falsabile per le applicazioni containerizzate.
  • Visualizza insight sulla sicurezza per le applicazioni create. Ad esempio:
    • il livello di build SLSA, che identifica il livello di maturità del processo di compilazione del software in base alla specifica SLSA.
    • Vulnerabilità negli artefatti della build.
    • Provenienza della build, ovvero una raccolta di metadati verificabili relativi a una build. Include dettagli come le sintesi delle immagini create, le posizioni delle origini di input, la Toolchain di build, i passi di build e la durata della build.

  Per istruzioni sulla visualizzazione degli insight sulla sicurezza per le applicazioni create, consulta Creare un'applicazione e visualizzare gli insight sulla sicurezza.

• Cloud Deploy

  Cloud Deploy automatizza la distribuzione delle tue applicazioni in una serie di ambienti di destinazione in una sequenza definita. Supporta la distribuzione continua direttamente in Google Kubernetes Engine, GKE Enterprise e Cloud Run, con approvazioni e rollback con un solo clic, sicurezza e audit aziendale e metriche di distribuzione integrate. Inoltre, visualizza insight sulla sicurezza per le applicazioni di cui è stato eseguito il deployment.

Componenti che aiutano a proteggere le applicazioni in produzione

GKE e Cloud Run contribuiscono a proteggere il livello di sicurezza degli ambienti di runtime. Entrambi sono dotati di funzionalità di sicurezza per proteggere le applicazioni in fase di runtime.

• GKE

  GKE può valutare la strategia di sicurezza dei container e fornire linee guida attive sulle impostazioni dei cluster, sulla configurazione dei carichi di lavoro e sulle vulnerabilità. Include la dashboard sulla postura di sicurezza, che analizza i cluster e i carichi di lavoro GKE per fornirti suggerimenti utili e strategici per migliorare la postura di sicurezza. Per istruzioni sulla visualizzazione degli insight sulla sicurezza nella dashboard della postura di sicurezza di GKE, consulta Eseguire il deployment su GKE e visualizzare gli insight sulla sicurezza.

• Cloud Run

  Cloud Run contiene un pannello di sicurezza che mostra insight sulla sicurezza della catena di fornitura del software come le informazioni sulla conformità a livello di build SLSA, la provenienza della build e le vulnerabilità trovate nei servizi in esecuzione. Per istruzioni sulla visualizzazione degli insight sulla sicurezza nel riquadro degli insight sulla sicurezza di Cloud Run, consulta Eseguire il deployment su Cloud Run e visualizzare gli insight sulla sicurezza.

Costruisci una catena di fiducia attraverso le norme

Autorizzazione binaria consente di stabilire, gestire e verificare una catena di attendibilità lungo la catena di fornitura del software raccogliendo attestations, ovvero documenti digitali che certificano le immagini. Un'attestazione indica che l'immagine associata è stata creata eseguendo correttamente una procedura specifica e obbligatoria. In base a queste attestazioni raccolte, Autorizzazione binaria consente di definire, verificare e applicare i criteri basati sull'attendibilità. Garantisce che il deployment dell'immagine venga eseguito solo quando le attestazioni soddisfano i criteri dell'organizzazione e può anche essere impostata per ricevere un avviso in caso di violazioni dei criteri. Ad esempio, le attestazioni possono indicare che un'immagine è:

• Creato da Cloud Build.
• Non contiene vulnerabilità superiori a una gravità specificata. Se esistono vulnerabilità specifiche che non si applicano alle tue applicazioni, puoi aggiungerle a una lista consentita.

Puoi utilizzare Autorizzazione binaria con GKE e Cloud Run.

Prezzi

Il seguente elenco rimanda alle informazioni sui prezzi dei servizi nella soluzione Software Delivery Shield:

• Cloud Workstations
• Cloud Code: disponibile per tutti i clienti Google Cloud senza costi aggiuntivi.
• Assured OSS: contatta il team di vendita per informazioni sui prezzi.
• Artifact Registry
• Analisi degli artefatti
• Cloud Build
• Cloud Deploy
• Cloud Run
• GKE
• Autorizzazione binaria

Passaggi successivi

• Scopri come creare applicazioni e visualizzare insight sulla sicurezza.
• Scopri come eseguire il deployment in Cloud Run e visualizzare gli insight sulla sicurezza.
• Scopri come eseguire il deployment in GKE e visualizzare gli insight sulla sicurezza.