Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Artifact Guard の概要

Security Command Center のアーティファクト保護は、開発ライフサイクル全体を通して脆弱性を特定することで、アプリケーション開発プロセスにセキュリティレイヤを追加します。

Artifact Guard には次の機能と利点があります。

きめ細かいポリシー管理: 脆弱性のタイプに基づいて正確なルールを定義し、柔軟な例外オプションを使用できます。
ビルド時のポリシー適用: セキュリティチェックを Artifact Registry と継続的インテグレーション/継続的デリバリー（CI/CD）パイプラインに直接統合して、デプロイ前に安全でないイメージを停止します。
高度なランタイム適用: リアルタイムスキャンとセキュリティポスチャーの完全な概要を利用できます。
統合された「コードからクラウド」までのセキュリティグラフ: ビルド時、Artifact Analysis、実行時スキャンのデータを関連付けることで、セキュリティ検出結果を包括的に把握できます。

概要

CI/CD パイプラインとデプロイ環境では、非準拠のイメージをブロックまたは監査するための自動適用が不足していることがよくあります。アプリケーションを保護するには、ビルド段階とデプロイ段階の両方でポリシーを一貫して適用する必要があります。

強力なポリシーフレームワークは、次の点で役立ちます。

サプライチェーン攻撃: プロアクティブなポリシーにより、脅威を早期に軽減し、侵害されたイメージがアプリケーションに影響を与えないようにします。
コンプライアンスとガバナンス: 認証情報の漏洩の防止、脆弱なライブラリのブロック、安全なコンテナ構成の維持などのベストプラクティスを適用することで、規制要件を満たします。
デベロッパーの負担を軽減: セキュリティを開発ライフサイクルにシームレスに統合し、イノベーションを妨げることなく保護を強化します。
ランタイムリスク: 継続的なランタイムスキャンにより、デプロイ後でも新しい脆弱性を検出し、継続的な保護を提供します。

Artifact Protection は、アーティファクトの脆弱性やその他の検出結果をライフサイクル全体にわたって管理するための統合セキュリティフレームワークを提供します。このフレームワークにより、さまざまな段階で詳細なアドミッションコントロールが可能になり、検証済みのアーティファクトのみが昇格されます。

Artifact Protection には、Artifact Registry や Google Kubernetes Engine（GKE）などの主要サービスとの統合が組み込まれています。ポリシーを Google セキュリティベースラインポリシーに含めて App Hub と統合することもできるため、チームはアプリケーション設計センターからセキュリティ標準を直接適用できます。この機能により、アーティファクト保護は組織のポリシーサービスフレームワーク内で強力な制約として機能し、 Google Cloud 大規模な環境で一貫したセキュリティガバナンスを確保できます。

オーディエンス

Artifact Guard は、次の関係者のタスクに役立ちます。

セキュリティ管理者: セキュリティポリシーを定義して適用します。
DevOps チームまたはプラットフォームエンジニアリングチーム: アーティファクト保護を既存のビルドパイプラインとデプロイパイプラインに統合します。
アプリケーションデベロッパー: Artifact Guard のインサイトを使用して、コード内のセキュリティの脆弱性を修復します。

主な用語と概念

共通脆弱性識別子（CVE）: 公開されているコンピュータセキュリティの脆弱性で、一意の識別子が割り当てられています。これらの識別子は、修正のための脆弱性の追跡に役立ちます。
ソフトウェア部品構成表（SBOM）: ソフトウェアコンポーネントと依存関係の機械可読インベントリ。SBOM には、各コンポーネントのバージョン、オリジン、その他の関連情報が含まれます。SBOM を使用して、CVE やその他のセキュリティリスクを特定できます。
アーティファクト: ビルドプロセス中に作成されたデータやアイテムなど、ソフトウェア開発のバージョン管理された検証済みの出力。

大まかなワークフロー

アーティファクト保護は、次の 3 種類のポリシースコープをサポートしています。
- CI/CD プラットフォーム: Cloud Build、 GitHub Actions、Jenkins パイプライン
- レジストリ: GKE クラスタ
- ランタイム: GKE クラスタ
CI/CD プラットフォームスコープを使用する場合は、CI/CD 統合を使用して CI/CD 環境へのコネクタを作成できます。
アーティファクト保護ポリシーを構成します。ポリシーには、サポートされているスコープのいずれかを含めることができます。
ポリシーに対して評価が実行されます。評価中に、イメージがビルドされ、ポリシーに照らして評価されます。ポリシーが失敗すると、ビルドが失敗します。DevOps エンジニアまたはアプリケーションエンジニアは、失敗の詳細を確認して、必要な修正をデプロイできます。

次のステップ

アーティファクト保護ポリシーを構成する方法を学習する。