צפייה בתובנות לגבי אבטחה ב-Cloud Deploy

בדף הזה מוסבר איך לצפות במידע על האבטחה של קובצי האימג' בקונטיינרים שאתם פורסים. אפשר לראות את המידע הזה בחלונית הצדדית Security insights של Cloud Deploy במסוף Google Cloud .

בחלונית הצדדית תובנות בנושא אבטחה מוצגת סקירה כללית של כמה מדדי אבטחה. אתם יכולים להשתמש בחלונית הזו כדי לזהות סיכונים בתמונות שאתם פורסים ולצמצם אותם.

בחלונית הזו מוצג המידע הבא:

• רמת ה-build של SLSA

  מזהה את רמת הבשלות של תהליך build של התוכנה בהתאם למפרט של Supply-chain Levels for Software Artifacts‏ (SLSA).

• נקודות חולשה

  רשימה של נקודות החולשה שנמצאו בפריט המידע שנוצר בתהליך הפיתוח (Artifact) או בפריטי המידע שנוצרו בתהליך הפיתוח.

• סטטוס VEX

  סטטוס של Vulnerability Exploitability eXchange‏(VEX) עבור ארטיפקטים של בנייה.

• SBOM

  רשימת חומרים (SBOM) של התוכנה בשביל ארטיפקטים של הבנייה.

• פרטי גרסת ה-Build

  כולל מידע על הגרסה.

דרישות

תובנות בנושא אבטחה זמינות רק לקובצי אימג' בקונטיינר שעומדים בדרישות הבאות:

• צריך להפעיל את בדיקת נקודות החולשה.

• צריך להקצות את התפקידים הנדרשים בממשק לניהול זהויות והרשאות גישה (IAM) בפרויקט שבו פועל Artifact Analysis.

• השם של התמונה, כחלק מיצירת הגרסה, צריך להיות SHA qualified.

  אם התמונה מוצגת בכרטיסייה Artifacts ב-Cloud Deploy בלי גיבוב SHA256, יכול להיות שתצטרכו לבנות מחדש את התמונה.

הפעלת סריקת נקודות חולשה

המידע שמוצג בחלונית תובנות בנושא אבטחה מגיע מArtifact Analysis ויכול להיות שהוא מגיע גם מ-Cloud Build. ‫Artifact Analysis הוא שירות שמספק סריקה משולבת לפי דרישה או סריקה אוטומטית של קובצי אימג' בסיסיים של קונטיינרים, חבילות Maven ו-Go בקונטיינרים וחבילות Maven שלא נמצאות בקונטיינרים.

כדי לקבל את כל התובנות בנושא אבטחה שזמינות, צריך להפעיל סריקה של נקודות חולשה:

1. כדי להפעיל את סריקת נקודות החולשה, צריך להפעיל את ממשקי ה-API הנדרשים.

   תפקידים שנדרשים להפעלת ממשקי API

   כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

   הפעלת ממשקי ה-API

2. יוצרים את קובץ האימג' של קונטיינר ומאחסנים אותו ב-Artifact Registry. הכלי Artifact Analysis סורק באופן אוטומטי את ארטיפקטים של הבנייה.

   סריקת הפגיעויות עשויה להימשך כמה דקות, בהתאם לגודל קובץ אימג' של הקונטיינר.

מידע נוסף על סריקת פגיעויות זמין במאמר בנושא סריקה בזמן שליחת Push.

הסריקה כרוכה בתשלום. מידע על המחירים מופיע בדף המחירים.

איך נותנים הרשאות לצפייה בתובנות

כדי לראות תובנות אבטחה ב-Cloud Deploy, צריך את תפקידי ה-IAM שמתוארים כאן, או תפקיד עם הרשאות שוות ערך. אם Artifact Registry ו-Artifact Analysis פועלים בפרויקטים שונים, צריך להוסיף את התפקיד Artifact Analysis Occurrences Viewer או הרשאות שוות ערך בפרויקט שבו פועל Artifact Analysis.

• Cloud Build Viewer (roles/cloudbuild.builds.viewer)

  הצגת התובנות לגבי גרסת build.

• צפייה בניתוח ארטיפקטים (roles/containeranalysis.occurrences.viewer)

  הצגת נקודות חולשה ומידע אחר על יחסי תלות.

צפייה בתובנות לגבי אבטחה ב-Cloud Deploy

1. פותחים את הדף Delivery pipelines של Cloud Deploy במסוףGoogle Cloud :

   פתיחת הדף 'צינורות העברת נתונים'

2. אם צריך, בוחרים את הפרויקט שכולל את הפייפליין ואת הגרסה שסיפקה את קובץ אימג' של קונטיינר שרוצים לראות לגביה תובנות אבטחה.

3. לוחצים על השם של צינור העברת הנתונים.

   מוצגים פרטי צינור העברת הנתונים.

4. בדף הפרטים של צינור העברת התוכן, בוחרים פריט תוכן שהועבר באמצעות קובץ אימג' של קונטיינר.

5. בדף פרטי הגרסה, בוחרים בכרטיסייה Artifacts.

   מאגרי התגים שהועברו על ידי הגרסה שנבחרה מפורטים בקטע Build artifacts. בכל קונטיינר, בעמודה תובנות לגבי אבטחה מופיע הקישור הצגה.

   

6. לוחצים על הקישור הצג לצד שם הארטיפקט שרוצים לראות את פרטי האבטחה שלו.

   מוצגת החלונית תובנות בנושא אבטחה עם מידע האבטחה שזמין לגבי הארטיפקט הזה. בקטעים הבאים מוסבר על המידע הזה בפירוט.

רמת SLSA

‫SLSA היא קבוצה של הנחיות אבטחה בתקן התעשייה למפתחי תוכנה ולמשתמשים בתוכנה. התקן הזה קובע ארבע רמות של סמך לגבי אבטחת התוכנה.

נקודות חולשה

בכרטיס Vulnerabilities (נקודות חולשה) מוצגים מקרים של נקודות חולשה, תיקונים זמינים וסטטוס VEX של ארטיפקטים של בנייה.

Artifact Analysis תומך בסריקה של קובצי אימג' של קונטיינרים שהועברו אל Artifact Registry. הסריקות מזהות פגיעויות בחבילות של מערכת ההפעלה ובחבילות של אפליקציות שנוצרו ב-Python, ב-Node.js, ב-Java (Maven) או ב-Go.

התוצאות של הסריקה מאורגנות לפי רמת חומרה. רמת החומרה היא הערכה איכותית שמבוססת על מידת הניצול, ההיקף, ההשפעה והבגרות של הפגיעות.

לוחצים על שם התמונה כדי לראות את הארטיפקטים שנסרקו לאיתור פגיעויות.

לכל קובץ אימג' של קונטיינר שנדחף אל Artifact Registry, ‏ Artifact Analysis יכול לאחסן הצהרת VEX משויכת. VEX הוא סוג של ייעוץ בנושא אבטחה שמציין אם מוצר מושפע מנקודת חולשה ידועה.

כל הצהרת VEX כוללת:

• הגורם שפרסם את הצהרת VEX
• הארטיפקט שלגביו נכתב ההצהרה
• הערכת נקודות החולשה (סטטוס VEX) לכל CVE

תלויות

בכרטיס Dependencies מוצגת רשימה של SBOM שכוללת רשימה של יחסי תלות.

כשיוצרים קובץ אימג' של קונטיינר באמצעות Cloud Build ומעבירים אותו בדחיפה ל-Artifact Registry, שירות Artifact Analysis יכול ליצור רשומות SBOM עבור קובצי האימג' שהועברו בדחיפה.

‫SBOM הוא מלאי מלא של אפליקציה, שמזהה את החבילות שהתוכנה שלכם מסתמכת עליהן. התוכן יכול לכלול תוכנות של צד שלישי מספקים, ארטיפקטים פנימיים וספריות קוד פתוח.

פרטי גרסת ה-Build

פרטי הגרסה כוללים את המידע הבא:

• קישור ליומני Cloud Build

• השם של ה-builder שיצר את קובץ האימג'

• התאריך והשעה של הבנייה

• אישור המקור של Build, בפורמט JSON

המאמרים הבאים

• אפשר לנסות את המדריך למתחילים פריסת אפליקציה ב-GKE והצגת תובנות אבטחה

• אפשר לנסות את המדריך למתחילים פריסת אפליקציה ב-Cloud Run והצגת תובנות אבטחה

• שיטות מומלצות לאבטחת שרשרת האספקה של תוכנות

• איך שומרים וצופים ביומני בנייה