Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על הגנה על ארטיפקטים

התכונה הגנה על ארטיפקטים ב-Security Command Center מוסיפה שכבת אבטחה לתהליך פיתוח האפליקציה, ועוזרת לכם לזהות נקודות חולשה לאורך מחזור החיים של הפיתוח.

הגנה על ארטיפקטים מציעה את התכונות והיתרונות הבאים:

אמצעי בקרה מפורטים של מדיניות: הגדרת כללים מדויקים על סמך סוגי פגיעויות, עם אפשרויות גמישות להחרגות.
אכיפת מדיניות בזמן בנייה: שילוב בדיקות אבטחה ישירות ב-Artifact Registry ובצינורות עיבוד נתונים של אינטגרציה רציפה (CI) ופיתוח רציף (CD) כדי לעצור תמונות לא מאובטחות לפני הפריסה.
אכיפה מתקדמת בזמן ריצה: תוכלו ליהנות מסריקה בזמן אמת ומסקירה כללית מלאה של מצב האבטחה שלכם.
גרף אבטחה מאוחד של 'קוד לענן': מקבלים תצוגה הוליסטית של ממצאי האבטחה על ידי קורלציה של נתונים ממועד הבנייה, ניתוח ארטיפקטים וסריקות בזמן ריצה.

סקירה כללית

בצינורות CI/CD ובסביבות פריסה לרוב אין אכיפה אוטומטית לחסימה או לביקורת של תמונות שלא עומדות בדרישות. כדי לאבטח אפליקציות, צריך להחיל את המדיניות באופן עקבי בשלבי הבנייה והפריסה.

מסגרת מדיניות חזקה יכולה לעזור בדברים הבאים:

מתקפות על שרשרת האספקה: מדיניות פרואקטיבית עוזרת לצמצם איומים בשלב מוקדם, ולמנוע מתמונות שנפרצו להשפיע על האפליקציות.
תאימות וממשל: עמידה בדרישות הרגולטוריות באמצעות אכיפת שיטות מומלצות, כמו מניעת דליפות של פרטי כניסה, חסימה של ספריות פגיעות ושמירה על הגדרות מאובטחות של קונטיינרים.
צמצום החיכוך עם המפתחים: שילוב חלק של אבטחה במחזור החיים של הפיתוח, שיפור ההגנה בלי לפגוע בחדשנות.
סיכונים בזמן ריצה: סריקה רציפה בזמן ריצה מאתרת נקודות פגיעות חדשות גם אחרי הפריסה, ומספקת הגנה שוטפת.

הגנה על ארטיפקטים מספק מסגרת אבטחה מאוחדת לניהול נקודות החולשה של ארטיפקט וממצאים אחרים לאורך מחזור החיים שלו. המסגרת הזו מאפשרת שליטה מדויקת בגישה בשלבים שונים, כדי להבטיח שרק פריטי מידע מאומתים יקודמו.

ל-Artifact Guard יש שילוב מובנה עם שירותים מרכזיים כמו Artifact Registry ו-Google Kubernetes Engine ‏ (GKE). אפשר גם לכלול מדיניות במדיניות הבסיסית של Google בנושא אבטחה ולשלב אותה עם מרכז האפליקציות, כדי לאפשר לצוותים לאכוף תקני אבטחה ישירות ממרכז התכנון של האפליקציה. היכולת הזו מאפשרת ל-Artifact Guard לפעול כמגבלה חזקה במסגרת שירות מדיניות הארגון של Google Cloud , וכך להבטיח ניהול אבטחה עקבי בהיקף נרחב.

קהל

הגנה על ארטיפקטים יכולה לעזור לבעלי העניין במשימות הבאות:

אדמינים של אבטחה: הגדרה ואכיפה של מדיניות אבטחה.
צוותי DevOps או צוותי הנדסת פלטפורמות: שילוב של הגנה על ארטיפקטים בצינורות עיבוד נתונים קיימים של בנייה ופריסה.
מפתחי אפליקציות: משתמשים בתובנות מ-Artifact Guard כדי לטפל בנקודות חולשה באבטחה בתוך הקוד.

מושגים והגדרות חשובים

נקודות חולשה וחשיפה נפוצות (CVE): נקודת חולשה באבטחת מחשב שנחשפה לציבור וקיבלה מזהה ייחודי. המזהים האלה עוזרים לעקוב אחרי נקודות חולשה לצורך תיקון.
רשימת חומרים (BOM) של תוכנה (SBOM): מלאי של רכיבי תוכנה ויחסי תלות שמתאים לקריאה למחשבים. ה-SBOM כולל מידע על הגרסה, המקור ופרטים רלוונטיים אחרים של כל רכיב. אפשר להשתמש ב-SBOM כדי לזהות CVE וסיכוני אבטחה אחרים.
ארטיפקט: פלט של פיתוח תוכנה שעבר אימות וקיבל גרסה, כמו נתונים או פריט שנוצרו במהלך תהליך build.

תהליך עבודה כללי

הכלי הגנה על ארטיפקטים תומך בשלושה סוגים של היקפי מדיניות:
- פלטפורמת CI/CD: Cloud Build,‏ GitHub Actions או צינורות עיבוד נתונים של Jenkins
- Registry: אשכולות GKE
- זמן ריצה: אשכולות GKE
אם אתם מתכננים להשתמש בהיקף הפלטפורמה של CI/CD, אתם יכולים ליצור מחברים לסביבות CI/CD באמצעות השילוב של CI/CD.
הגדרת כללי מדיניות של הגנה על ארטיפקטים. המדיניות יכולה לכלול כל אחד מההיקפים הנתמכים.
הבדיקות מתבצעות בהתאם למדיניות שלכם. במהלך הבדיקה, המערכת יוצרת תמונה ובודקת אותה בהשוואה למדיניות שלכם. אם המדיניות נכשלת, ה-build נכשל. מהנדסי DevOps או מהנדסי אפליקציות יכולים לבדוק את פרטי הכשל ולפרוס את התיקונים הנדרשים.

המאמרים הבאים

איך מגדירים מדיניות של הגנה על ארטיפקטים