Controlar o acesso e proteger artefatos

Nesta página, descrevemos Google Cloud serviços e recursos que ajudam a proteger seus artefatos.

Criptografia em repouso

Por padrão, Google Cloud o criptografa os dados automaticamente em repouso usando chaves de criptografia gerenciadas pelo Google. Se você tiver requisitos regulatórios ou de conformidade específicos relacionados às chaves que protegem seus dados, crie repositórios criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK).

Controle de acesso

Por padrão, todos os repositórios são privados. Siga o princípio de segurança de privilégio mínimo e conceda apenas as permissões mínimas que são exigidas por usuários e contas de serviço.

Restringir downloads de artefatos

É possível restringir downloads de artefatos com regras de download. As regras de download permitem permitir ou negar downloads de artefatos de repositórios e pacotes. Também é possível definir condições para que a regra seja aplicada a tags ou versões específicas.

Para cada repositório no seu projeto, você pode ter uma regra de download no nível do repositório e uma regra de download por pacote. Quando um cliente tenta fazer um download, o Artifact Registry primeiro verifica se há uma regra de download no pacote do artefato. Se uma regra não existir ou as condições da regra não se aplicarem ao artefato, o Artifact Registry vai verificar se há uma regra no repositório.

Por exemplo, é possível criar uma regra para o repositório que negue todos os downloads e, em seguida, criar uma regra para um pacote que permita downloads desse pacote específico. A regra no nível do pacote tem precedência, e apenas os artefatos pertencentes a esse pacote podem ser baixados do repositório.

As regras de download estão disponíveis em todos os modos de repositório e para os seguintes formatos de repositório:

• Apt
• Docker
• Go
• Maven
• npm
• Python

Prevenção a exfiltração de dados

Para evitar a exfiltração de dados, use o VPC Service Controls para colocar o Artifact Registry e outros Google Cloud serviços em um perímetro de segurança de rede.

Verificação de vulnerabilidades

O Artifact Analysis pode verificar imagens de contêiner em busca de vulnerabilidades de segurança em pacotes monitorados publicamente.

As seguintes opções estão disponíveis:

Verificação de vulnerabilidades automática

Quando ativado, esse recurso identifica as vulnerabilidades do pacote em suas imagens de contêiner. As imagens são verificadas quando são carregadas no Artifact Registry, e os dados são monitorados continuamente para encontrar novas vulnerabilidades por até 30 dias após o envio da imagem.

API On-Demand Scanning

Quando ativado, é possível verificar manualmente imagens locais ou armazenadas no Artifact Registry. Esse recurso ajuda a detectar e resolver vulnerabilidades no início do pipeline de compilação. Por exemplo, é possível usar o Cloud Build para verificar uma imagem após a criação e, em seguida, bloquear o upload para o Artifact Registry se a verificação detectar vulnerabilidades em um nível de gravidade especificado. Se você também tiver ativado a verificação automática de vulnerabilidades, o Artifact Analysis também verificará as imagens enviadas para o registro.

Política de implantação

É possível usar a autorização binária para configurar uma política aplicada pelo serviço quando é feita uma tentativa de implantar uma imagem de contêiner em um dos ambientes compatíveis Google Cloud .

Por exemplo, é possível configurar a autorização binária para permitir implantações somente se uma imagem for assinada para conformidade com uma política de verificação de vulnerabilidades.

Remover imagens não usadas

Remova imagens de contêiner não usadas para reduzir os custos de armazenamento e atenuar os riscos de usar softwares mais antigos. Há várias ferramentas disponíveis para ajudar com essa tarefa, incluindo o gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial do Google.

Como integrar a segurança aos processos

A integração de objetivos de segurança da informação ao trabalho diário pode ajudar a aumentar o desempenho da entrega de software e criar sistemas mais seguros. Essa ideia também é conhecida como mudança para a esquerda, porque as preocupações, incluindo questões de segurança, são abordadas anteriormente no ciclo de vida do desenvolvimento de software (isto é, deixadas em um diagrama de programação da esquerda para a direita). A mudança para a esquerda na segurança é um dos recursos do DevOps identificados no programa de pesquisa DORA State of DevOps (em inglês).

Para saber mais, faça o seguinte:

• Leia sobre o recurso Mudança para a esquerda na segurança .
• Leia o whitepaper Mudança para a esquerda na segurança (em inglês), que descreve responsabilidades, práticas, processos, ferramentas e técnicas que aumentam a confiança no ciclo de vida de desenvolvimento de software (SDLC, na sigla em inglês) e reduzem as preocupações com riscos de segurança.

Considerações para repositórios públicos

Considere cuidadosamente os casos a seguir:

• Uso de artefatos de fontes públicas
• Tornar públicos seus próprios repositórios do Artifact Registry

Usar artefatos de fontes públicas

As seguintes fontes públicas de artefatos fornecem ferramentas que podem ser usadas ou dependências para builds e implantações:

• GitHub
• Docker Hub (em inglês)
• PyPI
• Registro público do npm (em inglês)

No entanto, sua organização pode ter restrições que afetam o uso de artefatos públicos. Exemplo:

• Você quer controlar o conteúdo da sua cadeia de suprimentos de software.
• Você não quer depender de um repositório externo.
• Você quer controlar estritamente as vulnerabilidades em seu ambiente de produção.
• Você quer o mesmo sistema operacional de base em todas as imagens.

Considere as seguintes abordagens para proteger sua cadeia de suprimentos de software:

• Configure builds automáticos para que seus artefatos tenham conteúdo consistente e conhecido. É possível usar gatilhos de build do Cloud Build ou outras ferramentas de integração contínua.

• Use imagens de base padronizadas. O Google fornece algumas imagens de base que podem ser usadas.

• Resolva vulnerabilidades nos seus artefatos. É possível usar a API On-Demand Scanning para verificar vulnerabilidades em imagens de contêiner antes de armazená-las no Artifact Registry. O Artifact Analysis também pode verificar contêineres enviados para o Artifact Registry.

• Aplique seus padrões internos em implantações de imagens. A autorização binária fornece aplicação para implantações de imagens de contêiner em ambientes Google Cloud compatíveis.

Repositórios públicos do Artifact Registry

É possível tornar um repositório do Artifact Registry público concedendo o papel Leitor do Artifact Registry à identidade allUsers.

Se todos os usuários tiverem Google Cloud contas, você poderá limitar o acesso a usuários autenticados com a identidade allAuthenticatedUsers em vez disso.

Considere as seguintes diretrizes antes de tornar um repositório do Artifact Registry público:

• Verifique se todos os artefatos armazenados no repositório podem ser compartilhados publicamente e não expõem credenciais, dados pessoais ou confidenciais.
• Por padrão, os projetos têm cotas ilimitadas por usuário quotas. Para evitar abusos, limite as cotas por usuário no seu projeto.

- Você recebe cobranças pela transferência de dados de rede quando os usuários fazem o download de artefatos. Se você espera muito tráfego de download da Internet, considere os custos associados.

Orientação para aplicativos da Web

• O OWASP Top 10 lista os principais riscos de segurança para aplicativos da Web de acordo com o Open Web Application Security Project (OSWAP).

Orientação para contêineres

• As práticas recomendadas do Docker incluem recomendações para criar imagens.

• O Center for Internet Security (CIS) tem um comparativo de mercado do Docker para avaliar a segurança de um contêiner do Docker.

  O Docker fornece um script de código aberto chamado Docker Bench for Security. Você pode usar o script para validar um contêiner do Docker em execução no comparativo de mercado do CIS do Docker.

  O Docker Bench For Security pode ajudar você a verificar muitos itens no comparativo de mercado do CIS do Docker, mas nem todos os itens são verificáveis com o script. Por exemplo, o script não pode verificar se o host do contêiner está mais protegido ou se a imagem do contêiner inclui dados pessoais. Analise todos os itens no comparativo de mercado e identifique aqueles que podem precisar de verificação adicional.

A seguir

Saiba mais sobre o gerenciamento de dependências