Artifact Guard – Übersicht

Artifact Guard in Security Command Center bietet eine zusätzliche Sicherheitsebene für den Anwendungsentwicklungsprozess, da Sie damit Sicherheitslücken während des gesamten Entwicklungszyklus erkennen können.

Artifact Guard bietet die folgenden Funktionen und Vorteile:

  • Detaillierte Richtlinienkontrollen: Definieren Sie präzise Regeln basierend auf Arten von Sicherheitslücken mit flexiblen Ausnahmeoptionen.
  • Richtlinienerzwingung zur Build-Zeit: Integrieren Sie Sicherheitsprüfungen direkt in Artifact Registry und CI/CD-Pipelines (Continuous Integration/Continuous Delivery), um unsichere Images vor der Bereitstellung zu stoppen.
  • Erweiterte Laufzeitdurchsetzung: Profitieren Sie von Echtzeitscans und einem vollständigen Überblick über Ihren Sicherheitsstatus.
  • Einheitliches Sicherheitsdiagramm für „Code to Cloud“: Sie erhalten einen ganzheitlichen Überblick über Sicherheitsergebnisse, indem Sie Daten aus Build-Zeit-, Artefaktanalyse- und Laufzeitscans korrelieren.

Übersicht

In CI/CD-Pipelines und Bereitstellungsumgebungen fehlt es oft an einer automatisierten Durchsetzung, um nicht konforme Bilder zu blockieren oder zu prüfen. Damit Anwendungen sicher sind, müssen Richtlinien sowohl in der Build- als auch in der Bereitstellungsphase einheitlich angewendet werden.

Ein starkes Richtlinien-Framework kann bei Folgendem helfen:

  • Angriffe auf die Lieferkette: Proaktive Richtlinien helfen, Bedrohungen frühzeitig zu minimieren und zu verhindern, dass kompromittierte Images Ihre Anwendungen beeinträchtigen.
  • Compliance und Governance: Erfüllen Sie regulatorische Anforderungen, indem Sie Best Practices wie das Verhindern von Anmeldedatenlecks, das Blockieren anfälliger Bibliotheken und die Aufrechterhaltung sicherer Containerkonfigurationen durchsetzen.
  • Reibung für Entwickler reduzieren: Integrieren Sie Sicherheit nahtlos in Ihren Entwicklungszyklus, um den Schutz zu verbessern, ohne Innovationen zu behindern.
  • Laufzeitrisiken: Durch kontinuierliches Laufzeit-Scanning werden neue Sicherheitslücken auch nach der Bereitstellung erkannt, was für fortlaufenden Schutz sorgt.

Artifact Guard bietet ein einheitliches Sicherheitsframework zum Verwalten der Sicherheitslücken und anderer Ergebnisse eines Artefakts während seines gesamten Lebenszyklus. Dieses Framework ermöglicht eine detaillierte Zugriffskontrolle in verschiedenen Phasen und sorgt dafür, dass nur geprüfte Artefakte hochgestuft werden.

Artifact Guard ist in wichtige Dienste wie Artifact Registry und Google Kubernetes Engine (GKE) integriert. Richtlinien können auch in die Google Security Baseline Policy aufgenommen und in App Hub eingebunden werden. So können Teams Sicherheitsstandards direkt über das Anwendungsdesigncenter erzwingen. Mit dieser Funktion kann Artifact Guard als leistungsstarke Einschränkung im Google Cloud Organization Policy Service-Framework fungieren und so für eine konsistente Sicherheitsverwaltung im großen Maßstab sorgen.

Zielgruppe

Artifact Guard kann bei den folgenden Aufgaben helfen:

  • Sicherheitsadministratoren: Definieren und erzwingen Sicherheitsrichtlinien.
  • DevOps- oder Platform Engineering-Teams: Integrieren Sie Artifact Guard in vorhandene Build- und Bereitstellungspipelines.
  • Anwendungsentwickler: Nutzen Sie die Erkenntnisse aus Artifact Guard, um Sicherheitslücken im Code zu beheben.

Wichtige Begriffe und Konzepte

  • Common Vulnerabilities and Exposures (CVE): Eine öffentlich bekannt gegebene Computersicherheitslücke, der eine eindeutige Kennung zugewiesen wird. Diese Kennungen helfen dabei, Sicherheitslücken zur Behebung zu verfolgen.
  • Software-Materialliste (Software Bill of Materials, SBOM): Ein maschinenlesbares Inventar von Softwarekomponenten und ‑abhängigkeiten. Eine SBOM enthält Informationen zur Version, zum Ursprung und zu anderen relevanten Details jeder Komponente. SBOMs können verwendet werden, um CVEs und andere Sicherheitsrisiken zu identifizieren.
  • Artefakt: Eine versionierte und validierte Ausgabe der Softwareentwicklung, z. B. Daten oder ein Element, das während des Build-Prozesses erstellt wurde.

Allgemeiner Workflow

  1. Artifact Guard unterstützt drei Arten von Richtlinienbereichen:

    • CI/CD-Plattform: Cloud Build, GitHub Actions oder Jenkins-Pipelines
    • Registry: GKE-Cluster
    • Laufzeit: GKE-Cluster

    Wenn Sie den CI/CD-Plattformbereich verwenden möchten, können Sie mit der CI/CD-Integration Connectors zu Ihren CI/CD-Umgebungen erstellen.

  2. Artifact Guard-Richtlinien konfigurieren Ihre Richtlinien können alle unterstützten Bereiche enthalten.

  3. Die Auswertungen werden anhand Ihrer Richtlinien durchgeführt. Bei einer Evaluierung wird ein Image erstellt und anhand Ihrer Richtlinie bewertet. Wenn Ihre Richtlinie fehlschlägt, schlägt der Build fehl. DevOps- oder Anwendungsentwickler können dann die Fehlerdetails untersuchen und die erforderlichen Korrekturen bereitstellen.

Nächste Schritte