Questa pagina descrive i servizi e le funzionalità che ti aiutano a proteggere i tuoi artefatti. Google Cloud
Crittografia at-rest
Per impostazione predefinita, Google Cloud cripta automaticamente i dati at-rest utilizzando chiavi di crittografia gestite da Google. Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi creare repository criptati con chiavi di crittografia gestite dal cliente (CMEK).
Controllo degli accessi
Per impostazione predefinita, tutti i repository sono privati. Segui il principio di sicurezza del privilegio minimo e concedi solo le autorizzazioni minime che sono richieste dagli utenti e dagli account di servizio.
Limitare i download degli artefatti
Puoi limitare i download degli artefatti con le regole di download. Le regole di download ti consentono di consentire o negare i download degli artefatti dai repository e dai pacchetti. Puoi anche impostare condizioni in modo che la regola si applichi a tag o versioni specifici.
Per ogni repository nel tuo progetto, puoi avere una regola di download a livello di repository e una regola di download per pacchetto. Quando un client tenta di eseguire un download, Artifact Registry controlla innanzitutto se esiste una regola di download nel pacchetto dell'artefatto. Se non esiste una regola o le condizioni della regola non si applicano all'artefatto, Artifact Registry cerca una regola nel repository.
Ad esempio, puoi creare una regola per il repository per negare tutti i download e poi creare una regola per un pacchetto per consentire i download da quel pacchetto specifico. La regola a livello di pacchetto ha la precedenza e solo gli artefatti appartenenti a quel pacchetto possono essere scaricati dal repository.
Le regole di download sono disponibili in tutte le modalità del repository e per i seguenti formati di repository:
- Apt
- Docker
- Vai
- Maven
- npm
- Python
Prevenzione dell'esfiltrazione di dati
Per impedire esfiltrazione di dati, puoi utilizzare Controlli di servizio VPC per inserire Artifact Registry e altri Google Cloud servizi in un perimetro di sicurezza di rete.
Analisi delle vulnerabilità
Artifact Analysis può analizzare le immagini container per rilevare vulnerabilità della sicurezza nei pacchetti monitorati pubblicamente.
Sono disponibili le seguenti opzioni:
- Analisi automatica delle vulnerabilità
- Se abilitata, questa funzionalità identifica le vulnerabilità dei pacchetti nelle immagini container. Le immagini vengono analizzate quando vengono caricate in Artifact Registry e i dati vengono monitorati continuamente per rilevare nuove vulnerabilità fino a 30 giorni dopo il push dell'immagine.
- API On-Demand Scanning
- Se abilitata, puoi analizzare manualmente le immagini locali o le immagini archiviate in Artifact Registry. Questa funzionalità ti aiuta a rilevare e risolvere le vulnerabilità nelle prime fasi della pipeline di build. Ad esempio, puoi utilizzare Cloud Build per analizzare un'immagine dopo che è stata creata e poi bloccare il caricamento in Artifact Registry se l'analisi rileva vulnerabilità a un livello di gravità specificato. Se hai abilitato anche l'analisi automatica delle vulnerabilità, Artifact Analysis analizza anche le immagini che carichi nel registro.
Policy di deployment
Puoi utilizzare Autorizzazione binaria per configurare una policy applicata dal servizio quando viene tentato il deployment di un'immagine container in uno degli ambienti supportati Google Cloud .
Ad esempio, puoi configurare Autorizzazione binaria in modo che consenta i deployment solo se un'immagine è firmata per la conformità a una policy di analisi delle vulnerabilità.
Rimozione delle immagini inutilizzate
Rimuovi le immagini container inutilizzate per ridurre i costi di archiviazione e mitigare i rischi derivanti dall'utilizzo di software obsoleti.
Sicurezza fin dalle prime fasi
L'integrazione degli obiettivi di sicurezza delle informazioni nel lavoro quotidiano può contribuire a migliorare le prestazioni di distribuzione del software e a creare sistemi più sicuri. Questa idea è nota anche come sicurezza fin dalle prime fasi, perché i problemi, inclusi quelli di sicurezza, vengono affrontati nelle prime fasi del ciclo di vita di sviluppo del software (ovvero a sinistra in un diagramma di pianificazione da sinistra a destra). La sicurezza fin dalle prime fasi è una delle funzionalità DevOps identificate nel programma di ricerca State of DevOps di DORA.
Per saperne di più:
- Scopri di più sulla funzionalità Sicurezza fin dalle prime fasi .
- Leggi il white paper Sicurezza fin dalle prime fasi, che descrive le responsabilità, le pratiche, i processi, gli strumenti e le tecniche che aumentano la fiducia nel ciclo di vita di sviluppo del software (SDLC) e riducono i rischi per la sicurezza.
Considerazioni sui repository pubblici
Considera attentamente i seguenti casi:
- Utilizzo di artefatti da fonti pubbliche
- Rendere pubblici i repository Artifact Registry
Utilizzo di artefatti da fonti pubbliche
Le seguenti fonti pubbliche di artefatti forniscono strumenti che potresti utilizzare o dipendenze per le build e i deployment:
Tuttavia, la tua organizzazione potrebbe avere vincoli che influiscono sull'utilizzo degli artefatti pubblici. Ad esempio:
- Vuoi controllare i contenuti della catena di fornitura del software.
- Non vuoi dipendere da un repository esterno.
- Vuoi controllare rigorosamente le vulnerabilità nel tuo ambiente di produzione.
- Vuoi lo stesso sistema operativo di base in ogni immagine.
Valuta i seguenti approcci per proteggere la catena di fornitura del software:
- Configura build automatiche in modo che gli artefatti abbiano contenuti coerenti e noti. Puoi utilizzare i trigger di build di Cloud Build o altri strumenti di integrazione continua.
- Utilizza immagini di base standardizzate. Google fornisce alcune immagini di base che puoi utilizzare.
- Risolvi le vulnerabilità negli artefatti. Puoi utilizzare l'API On-Demand Scanning per analizzare le immagini container per rilevare vulnerabilità prima di archiviarle in Artifact Registry. Artifact Analysis può anche analizzare i container di cui esegui il push in Artifact Registry.
- Applica i tuoi standard interni ai deployment delle immagini. Autorizzazione binaria fornisce l'applicazione per i deployment di immagini container agli ambienti Google Cloud supportati.
Repository Artifact Registry pubblici
Puoi rendere pubblico un repository Artifact Registry concedendo il ruolo Lettore di Artifact Registry all'identità allUsers.
Se tutti gli utenti hanno Google Cloud account, puoi limitare l'accesso
agli utenti autenticati con l'identità allAuthenticatedUsers invece.
Prima di rendere pubblico un repository Artifact Registry, tieni presente le seguenti linee guida:
- Verifica che tutti gli artefatti archiviati nel repository siano condivisibili pubblicamente e non espongano credenziali, dati personali o dati riservati.
- Per impostazione predefinita, i progetti hanno quote per utente illimitate quotas. Per evitare abusi, limita le quote per utente all'interno del progetto.
Indicazioni per le applicazioni web
- L'elenco OWASP Top 10 elenca i principali rischi per la sicurezza delle applicazioni web secondo Open Web Application Security Project (OSWAP).
Indicazioni per i container
- Le best practice di Docker includono consigli per la creazione di immagini.
Il Center for Internet Security (CIS) ha un benchmark Docker per valutare la sicurezza di un container Docker.
Docker fornisce uno script open source chiamato Docker Bench for Security. Puoi utilizzare lo script per convalidare un container Docker in esecuzione rispetto al benchmark Docker CIS.
Docker Bench For Security può aiutarti a verificare molti elementi nel benchmark Docker CIS, ma non tutti gli elementi sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host del container è protetto o se l'immagine container include dati personali. Esamina tutti gli elementi del benchmark e identifica quelli che potrebbero richiedere una verifica aggiuntiva.
Passaggi successivi
Scopri di più sulla gestione delle dipendenze