Software Delivery Shield 개요

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

Software Delivery Shield는 완전 관리형 엔드 투 엔드 소프트웨어 공급망 보안 솔루션입니다. 이는 개발자, DevOps, 보안팀이 소프트웨어 공급망의 보안 상태를 개선하는 데 사용할 수 있는 포괄적이고 모듈화된 기능 및 도구 모음을 Google Cloud 서비스 전반에서 제공합니다.

Software Delivery Shield는 다음으로 구성됩니다.

  • 개발, 빌드, 테스트, 스캔, 배포, 정책 시행을 위한 보안 권장사항을 통합한 Google Cloud 제품 및 기능
  • 소스, 빌드, 아티팩트, 배포, 런타임에 대한 보안 정보를 표시하는 Google Cloud 콘솔의 대시보드. 이 정보에는 빌드 아티팩트의 취약점, 빌드 출처, Software Bill of Materials(SBOM) 종속 항목 목록이 포함됩니다.
  • Supply chain Levels for Software Artifacts(SLSA) 프레임워크를 사용하여 소프트웨어 공급망 보안의 성숙도 수준을 식별하는 정보

Software Delivery Shield 구성요소

다음 다이어그램은 Software Delivery Shield의 여러 서비스가 함께 작동하여 소프트웨어 공급망을 보호하는 방법을 보여줍니다.

Software Delivery Shield의 구성요소를 보여주는 다이어그램

다음 섹션에서는 Software Delivery Shield 솔루션의 일부인 제품 및 기능을 설명합니다.

안전한 개발을 지원하는 구성요소

Software Delivery Shield의 다음 구성요소는 소프트웨어 소스 코드를 보호하는 데 도움이 됩니다.

  • Cloud Workstations(미리보기)

    Cloud Workstations는 Google Cloud의 완전 관리형 개발 환경을 제공합니다. IT 및 보안 관리자는 개발 환경을 쉽게 프로비저닝, 확장, 관리, 보호할 수 있으며 개발자는 일관된 구성 및 맞춤설정 도구를 사용하여 개발 환경에 액세스할 수 있습니다.

    Cloud Workstations는 애플리케이션 개발 환경의 보안 상태를 강화하여 개발 초기부터 보안 문제 해결을 지원합니다. VPC 서비스 제어, 비공개 인그레스 또는 이그레스, 강제 이미지 업데이트, Identity and Access Management 액세스 정책과 같은 보안 기능이 있습니다. 자세한 내용은 Cloud Workstations 문서를 참조하세요.

  • Cloud Code source protect(미리보기)

    Cloud Code는 Google Cloud로 애플리케이션을 생성, 배포, 통합하기 위한 IDE 지원을 제공합니다. 개발자는 샘플 템플릿에서 새 애플리케이션을 만들고 맞춤설정할 수 있으며 완성된 애플리케이션을 실행할 수 있습니다. Cloud Code source protect는 개발자가 IDE에서 작업할 때 취약한 종속 항목 및 라이선스 보고와 같은 실시간 보안 피드백을 제공합니다. 개발자가 소프트웨어 개발 프로세스를 시작할 때 코드를 수정할 수 있는 빠르고 실행 가능한 피드백을 제공합니다.

    기능 제공 여부: Cloud Code source protect 기능은 공개적으로 액세스할 수 없습니다. 이 기능에 액세스하려면 액세스 요청 페이지를 참조하세요.

소프트웨어 공급을 보호하는 데 도움이 되는 구성요소

빌드 아티팩트 및 애플리케이션 종속 항목인 소프트웨어 공급을 보호하는 것은 소프트웨어 공급망 보안을 개선하는 데 있어 매우 중요합니다. 오픈소스 소프트웨어를 광범위하게 사용할 때 이 문제는 특히 어렵습니다.

Software Delivery Shield의 다음 구성요소는 빌드 아티팩트와 애플리케이션 종속 항목을 보호하는 데 도움이 됩니다.

  • Assured OSS(미리보기)

    Assured OSS 서비스를 사용하면 Google에서 인증 및 테스트한 OSS 패키지에 액세스하여 통합할 수 있습니다. 자바 및 Python 전반에서 250개가 넘는 패키지를 제공합니다. 이러한 패키지는 Google의 보안 파이프라인을 사용하여 빌드되며 취약점을 정기적으로 검사, 분석, 테스트합니다. 자세한 내용은 Assured 오픈소스 소프트웨어 문서를 참조하세요.

  • Artifact Registry 및 컨테이너 분석

    Artifact Registry를 사용하면 빌드 아티팩트를 저장, 보호, 관리할 수 있으며 컨테이너 분석은 Artifact Registry에서 아티팩트의 취약점을 사전에 감지할 수 있습니다. Artifact Registry는 소프트웨어 공급망의 보안 상태를 개선할 수 있도록 다음 기능을 제공합니다.

    • 컨테이너 분석은 기본 컨테이너 이미지, 컨테이너의 Maven 및 Go 패키지, 컨테이너화되지 않은 Maven 패키지의 통합 주문형 또는 자동 스캔을 제공합니다.
    • 컨테이너 분석은 Maven 아티팩트에서 사용하는 오픈소스 종속 항목 내에서 기존 취약점과 새로운 취약점을 식별하는 독립형 스캔(미리보기)을 제공합니다. 스캔은 자바 프로젝트를 Artifact Registry로 푸시할 때마다 수행됩니다. 초기 스캔 후 컨테이너 분석은 Artifact Registry에서 스캔한 이미지의 메타데이터를 지속적으로 모니터링하여 새로운 취약점이 있는지 확인합니다.
      • 기능 제공 여부 이 기능은 공개적으로 액세스할 수 없습니다. 이 기능에 액세스하려면 액세스 요청 페이지를 참조하세요.
    • Artifact Registry는 자바 패키지의 원격 저장소(미리보기) 및 가상 저장소(미리보기)를 지원합니다. 원격 저장소는 Maven Central에서 종속 항목의 캐싱 프록시 역할을 하므로 다운로드 시간이 줄어들고 패키지 가용성이 개선되며 스캔이 사용 설정된 경우 취약점 스캔이 포함됩니다. 가상 저장소는 단일 엔드포인트 뒤에 동일한 형식의 저장소를 통합하고 업스트림 저장소 전반에서 검색 순서를 제어할 수 있습니다. 비공개 패키지의 우선순위를 정할 수 있으므로 종속 항목 혼동 공격 위험을 줄일 수 있습니다.
      • 기능 제공 여부 이 기능은 공개적으로 액세스할 수 없습니다. 이 기능에 액세스하려면 액세스 요청 페이지를 참조하세요.

CI/CD 파이프라인 보호를 지원하는 구성요소

악의적인 행위자는 CI/CD 파이프라인을 손상시켜 소프트웨어 공급망을 공격할 수 있습니다. Software Delivery Shield의 다음 구성요소는 CI/CD 파이프라인을 보호하는 데 도움이 됩니다.

  • Cloud Build

    Cloud Build는 Google Cloud 인프라에서 빌드를 실행합니다. 세분화된 IAM 권한, VPC 서비스 제어, 격리된 임시 빌드 환경과 같은 보안 기능을 제공합니다. 또한 소프트웨어 공급망의 보안 상태를 개선하기 위해 다음 기능을 제공합니다.

    • 컨테이너 이미지를 위한 SLSA 레벨 3 빌드를 지원합니다.
    • 컨테이너화된 애플리케이션에 대해 위조 불가능한 인증된 빌드 출처를 생성합니다.
    • 빌드된 애플리케이션의 보안 통계를 표시합니다(미리보기). 여기에는 다음이 포함됩니다.
      • SLSA 사양에 따라 소프트웨어 빌드 프로세스의 성숙도 수준을 식별하는 SLSA 빌드 수준
      • 빌드 아티팩트의 취약점
      • 빌드에 대한 검증 가능한 메타데이터 모음인 빌드 출처 빌드된 이미지의 다이제스트, 입력 소스 위치, 빌드 도구 모음, 빌드 단계, 빌드 기간과 같은 세부정보가 포함됩니다.

    빌드된 애플리케이션의 보안 통계를 보는 방법은 애플리케이션 빌드 및 보안 통계 보기를 참조하세요.

  • Google Cloud Deploy

    Google Cloud Deploy는 정의된 시퀀스에 따라 애플리케이션을 일련의 대상 환경으로 자동으로 전송합니다. 기본 제공 전송 측정항목은 물론 클릭 한 번으로 승인 및 롤백, 기업 보안 및 감사, Google Kubernetes Engine, Anthos 및 Cloud Run으로의 지속적 배포를 지원합니다.

프로덕션 단계의 애플리케이션을 보호하는 데 도움이 되는 구성요소

GKECloud Run은 런타임 환경의 보안 상태를 보호하는 데 도움이 됩니다. 두 가지 모두 런타임에서 애플리케이션을 보호하는 보안 기능과 함께 제공됩니다.

  • GKE

    GKE는 컨테이너 보안 상태를 평가하고 클러스터 설정, 워크로드 구성, 취약점에 대한 적극적인 안내를 제공합니다. 여기에는 GKE 클러스터 및 워크로드를 스캔하여 보안 상태를 개선할 수 있는 실행 가능한 독자적인 권장사항이 제공되는 보안 상태 대시보드(미리보기)가 포함됩니다. GKE 보안 상태 대시보드에서 보안 통계를 보는 방법은 GKE에 배포 및 보안 통계 보기를 참조하세요.

  • Cloud Run

    Cloud Run에는 보안 패널(미리보기)이 포함되어 있습니다. 이 패널은 SLSA 빌드 수준 규정 준수 정보, 빌드 출처, 실행 중인 서비스에서 발견된 취약점과 같은 소프트웨어 공급망 보안 통계를 표시합니다. Cloud Run 보안 통계 패널에서 보안 통계를 보는 방법은 Cloud Run에 배포 및 보안 통계 보기를 참조하세요.

정책을 통해 신뢰 체인 구축

Binary Authorization은 이미지를 인증하는 디지털 문서인 증명을 수집하여 소프트웨어 공급망과 함께 신뢰 체인을 설정, 유지, 확인합니다. 증명은 특정한 필수 프로세스를 성공적으로 실행하여 연결된 이미지가 빌드되었음을 나타냅니다. Binary Authorization은 수집된 증명을 기반으로 트러스트 기반 정책을 정의, 확인, 시행합니다. 증명이 조직 정책에 부합할 때만 이미지가 배포되도록 하고, 정책 위반이 발견되면 알림을 제공하도록 설정할 수도 있습니다. 예를 들어 증명은 이미지가 다음과 같음을 나타낼 수 있습니다.

GKE 및 Cloud Run에서 Binary Authorization을 사용할 수 있습니다.

가격 책정

다음 목록에는 Software Delivery Shield 솔루션의 서비스 가격 책정 정보가 나와 있습니다.

다음 단계