Panoramica di Software Delivery Shield

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Software Delivery Shield è una soluzione di sicurezza end-to-end completamente gestita per la catena di fornitura del software. Fornisce un insieme completo e modulare di funzionalità e strumenti nei servizi Google Cloud che sviluppatori, DevOps e team di sicurezza possono utilizzare per migliorare la strategia di sicurezza della catena di fornitura del software.

Il Software Delivery Shield è costituito da:

  • Prodotti e funzionalità di Google Cloud che incorporano best practice per la sicurezza in termini di sviluppo, creazione, test, scansione, deployment e applicazione dei criteri.
  • Dashboard nella console Google Cloud che mostrano le informazioni sulla sicurezza su codice sorgente, build, artefatti, deployment e runtime. Queste informazioni includono le vulnerabilità negli artefatti della build, la provenienza della build e l'elenco delle dipendenze Fattura software dei materiali (SBOM).
  • Informazioni che identificano il livello di maturità della sicurezza della catena di fornitura del software tramite il framework SLSA (Software Chain Levels for Software Artifacts) per fornire il livello di maturità della sicurezza della catena di fornitura del software.

Componenti di Shield di distribuzione del software

Il seguente diagramma illustra l'interazione tra i diversi servizi all'interno di Software Delivery Shield per proteggere la catena di fornitura del software:

Diagramma che mostra i componenti di Software Delivery Shield

Le seguenti sezioni descrivono i prodotti e le funzionalità che fanno parte della soluzione Software Delivery Shield:

Componenti che contribuiscono alla sicurezza dello sviluppo

I seguenti componenti di Software Delivery Shield aiutano a proteggere il codice sorgente del software:

  • Cloud Workstations (anteprima)

    Cloud Workstations fornisce ambienti di sviluppo completamente gestiti su Google Cloud. Consente agli amministratori IT e di sicurezza di eseguire il provisioning, scalare, gestire e proteggere facilmente i propri ambienti di sviluppo e consente agli sviluppatori di accedere agli ambienti di sviluppo con configurazioni coerenti e strumenti personalizzabili.

    Cloud Workstations aiuta a trasferire la sicurezza migliorando la strategia di sicurezza degli ambienti di sviluppo delle applicazioni. Presenta funzionalità di sicurezza come Controlli di servizio VPC, traffico in entrata o in uscita privato, aggiornamento forzato delle immagini e criteri di accesso a Identity and Access Management. Per ulteriori informazioni, consulta la documentazione di Cloud Workstations.

  • Protezione della sorgente di Cloud Code (anteprima)

    Cloud Code fornisce il supporto dell'IDE per creare, sottoporre a deployment e integrare le applicazioni con Google Cloud. Consente agli sviluppatori di creare e personalizzare una nuova applicazione da modelli di esempio ed eseguire l'applicazione completata. La protezione dell'origine di Cloud Code offre agli sviluppatori un feedback sulla sicurezza in tempo reale, ad esempio l'identificazione di dipendenze vulnerabili e la generazione di rapporti sulle licenze, mentre lavorano negli IDE. Fornisce un feedback rapido e utile che consente agli sviluppatori di apportare modifiche al codice all'inizio del processo di sviluppo del software.

    Disponibilità della funzionalità: la protezione dell'origine di Cloud Code non è disponibile per l'accesso pubblico. Per accedere a questa funzionalità, consulta la pagina della richiesta di accesso.

Componenti che consentono di proteggere la fornitura del software

La protezione dell'offerta software, gli artefatti delle build e le dipendenze delle applicazioni, è un passaggio critico nel miglioramento della sicurezza della catena di fornitura software. L'uso pervasivo del software open source rende questo problema particolarmente impegnativo.

I seguenti componenti di Software Delivery Shield aiutano a proteggere gli artefatti della build e le dipendenze delle applicazioni:

  • ASS assicurati (anteprima)

    Il servizio Assured OSS ti consente di accedere e incorporare i pacchetti OSS che sono stati verificati e testati da Google. Fornisce più di 250 pacchetti in Java e Python. Questi pacchetti vengono creati utilizzando pipeline sicure di Google e vengono scansionati, analizzati e testati regolarmente per rilevare le vulnerabilità. Per ulteriori informazioni, consulta la documentazione di Assured Open Source Software.

  • Artifact Registry e analisi dei container

    Artifact Registry ti consente di archiviare, proteggere e gestire gli artefatti di build, mentre Container Analysis rileva in modo proattivo le vulnerabilità per gli artefatti in Artifact Registry. Artifact Registry fornisce le seguenti funzionalità per migliorare la posizione di sicurezza della catena di fornitura del software:

    • Container Analysis fornisce analisi on demand o automatica integrata per le immagini container di base, i pacchetti Maven e Go in container e i pacchetti Maven non containerizzati.
    • Container Analysis fornisce una scansione autonoma (anteprima) che identifica le vulnerabilità esistenti e le nuove vulnerabilità all'interno delle dipendenze open source utilizzate dai tuoi artefatti Maven. La scansione si svolge ogni volta che esegui il push di un progetto Java in Artifact Registry. Dopo la scansione iniziale, Container Analysis monitora costantemente i metadati per rilevare eventuali vulnerabilità nelle immagini analizzate in Artifact Registry.
      • Disponibilità della funzionalità. Questa funzione non è disponibile per il pubblico. Per accedere a questa funzionalità, consulta la pagina della richiesta di accesso.
    • Artifact Registry supporta repository remoti (anteprima) e repository virtuali (anteprima) per i pacchetti Java. Un repository remoto funge da proxy per la memorizzazione nella cache delle dipendenze da Maven Central, riducendo i tempi di download, la disponibilità del pacchetto e l'analisi delle vulnerabilità anche se è attiva l'analisi. I repository virtuali consolidano i repository dello stesso formato dietro un singolo endpoint e consentono di controllare l'ordine di ricerca nei repository a monte. Puoi dare la priorità ai pacchetti privati, in modo da ridurre il rischio di attacchi di confusione in base alla dipendenza.
      • Disponibilità della funzionalità Queste funzionalità non sono disponibili al pubblico. Per accedere a questa funzionalità, visita la pagina per la richiesta di accesso.

Componenti che consentono di proteggere la pipeline CI/CD

I malintenzionati possono attaccare le catene di fornitura del software compromettendo le tubature CI/CD. I seguenti componenti di Software Delivery Shield consentono di proteggere la pipeline CI/CD:

  • Cloud Build

    Cloud Build esegue le build sull'infrastruttura Google Cloud. Offre funzionalità di sicurezza come autorizzazioni IAM granulari, controlli di servizio VPC e ambienti di build isolati e temporanei. Inoltre, fornisce le seguenti funzionalità per migliorare la strategia di sicurezza della catena di fornitura del software:

    • Supporta le build SLSA di livello 3 per le immagini container.
    • Genera una provenienza di build autenticata e non falsificabile per le applicazioni containerizzate.
    • Mostra insight sulla sicurezza per le applicazioni create (Anteprima). Ad esempio:
      • a livello di build SLSA, che identifica il livello di maturità del processo di compilazione del software in conformità alla specifica SLSA.
      • Vulnerabilità negli artefatti della build.
      • Origine della build, ovvero una raccolta di metadati verificabili relativi a una build. Include dettagli come i digest delle immagini build, le posizioni di origine di input, la catena degli strumenti di compilazione, i passi della build e la durata della build.

    Per istruzioni sulla visualizzazione degli insight sulla sicurezza per le applicazioni create, consulta Creare un'applicazione e visualizzare gli insight sulla sicurezza.

  • Google Cloud Deploy

    Google Cloud Deploy automatizza la distribuzione delle tue applicazioni in una serie di ambienti di destinazione in una sequenza definita. Supporta la distribuzione continua direttamente in Cloud Run, con approvazioni e rollback con un solo clic, sicurezza e audit aziendali, oltre a metriche di distribuzione integrate.

Componenti che contribuiscono a proteggere le applicazioni in produzione

Google Kubernetes Engine e Cloud Run contribuiscono a proteggere la strategia di sicurezza dei tuoi ambienti di runtime. Entrambi sono dotati di funzionalità di sicurezza per proteggere le tue applicazioni in fase di runtime.

  • GKE

    GKE può valutare la tua sicurezza di container e fornire indicazioni attive sulle impostazioni del cluster, sulla configurazione del carico di lavoro e sulle vulnerabilità. Include la dashboard per la strategia di strategia di sicurezza (anteprima), che esegue la scansione dei tuoi cluster e carichi di lavoro GKE per fornirti suggerimenti utili e oculate per migliorare la tua strategia di sicurezza. Per istruzioni sulla visualizzazione degli insight sulla sicurezza nella dashboard del livello di sicurezza di GKE, consulta Eseguire il deployment su GKE e visualizzare gli insight sulla sicurezza.

  • Cloud Run

    Cloud Run contiene un riquadro di sicurezza (Anteprima) che mostra gli insight sulla sicurezza della catena di fornitura, ad esempio informazioni di conformità a livello di build SLSA, provenienza di build e vulnerabilità rilevate nei servizi in esecuzione. Per istruzioni sulla visualizzazione degli insight sulla sicurezza nel riquadro degli insight sulla sicurezza di Cloud Run, consulta Eseguire il deployment su Cloud Run e visualizzare gli insight sulla sicurezza.

Crea una catena di fiducia attraverso i criteri

Autorizzazione binaria consente di stabilire, gestire e verificare una catena di attendibilità lungo la catena di fornitura del software raccogliendo le attestati, ovvero documenti digitali che certificano le immagini. Un'attestazione indica che l'immagine associata è stata creata eseguendo correttamente uno specifico processo richiesto. In base a queste attestazioni raccolte, Autorizzazione binaria consente di definire, verificare e applicare i criteri basati sull'attendibilità. Fa in modo che il deployment dell'immagine venga eseguito solo quando le attestazioni soddisfano i criteri della tua organizzazione e può anche essere impostato per avvisarti in caso di violazione delle norme. Ad esempio, le attestazioni possono indicare che un'immagine è:

Puoi utilizzare Autorizzazione binaria con GKE e Cloud Run.

Prezzi

Il seguente elenco rimanda alle informazioni sui prezzi per i servizi della soluzione Software Delivery Shield:

Passaggi successivi