Controlar el acceso y proteger los artefactos

En esta página se describen los servicios y las funciones que le ayudan a proteger sus artefactos. Google Cloud

Encriptado en reposo

De forma predeterminada, Google Cloud cifra automáticamente los datos en reposo con claves de cifrado gestionadas por Google. Si tienes requisitos de cumplimiento o normativos específicos relacionados con las claves que protegen tus datos, puedes crear repositorios cifrados con claves de cifrado gestionadas por el cliente (CMEK).

Control de acceso

De forma predeterminada, todos los repositorios son privados. Sigue el principio de seguridad de mínimos accesos y concede solo los permisos mínimos que necesiten los usuarios y las cuentas de servicio.

Restringir las descargas de artefactos

Puedes restringir las descargas de artefactos con reglas de descarga. Las reglas de descarga te permiten autorizar o denegar la descarga de artefactos de tus repositorios y paquetes. También puede definir condiciones para que la regla se aplique a etiquetas o versiones específicas.

En cada repositorio de tu proyecto, puedes tener una regla de descarga a nivel de repositorio y una regla de descarga por paquete. Cuando un cliente intenta descargar un artefacto, Artifact Registry comprueba primero si hay una regla de descarga en el paquete del artefacto. Si no existe ninguna regla o las condiciones de la regla no se aplican al artefacto, Artifact Registry busca una regla en el repositorio.

Por ejemplo, puede crear una regla para su repositorio que deniegue todas las descargas y, a continuación, crear una regla para un paquete que permita las descargas de ese paquete concreto. La regla a nivel de paquete tiene prioridad y solo se pueden descargar del repositorio los artefactos que pertenezcan a ese paquete.

Las reglas de descarga están disponibles en todos los modos de repositorio y en los siguientes formatos de repositorio:

• Docker
• Go
• Maven
• npm
• Python

Evita la filtración externa de datos

Para evitar la filtración de datos, puedes usar Controles de Servicio de VPC para colocar Artifact Registry y otros servicios de Google Cloud en un perímetro de seguridad de red.

Análisis de vulnerabilidades

Artifact Analysis puede analizar imágenes de contenedor para detectar vulnerabilidades de seguridad en paquetes monitorizados públicamente.

Se encuentran disponibles las siguientes opciones:

Análisis automático de vulnerabilidades

Si esta función está habilitada, identifica vulnerabilidades de paquetes en las imágenes de contenedor. Las imágenes se analizan cuando se suben a Artifact Registry y los datos se monitorizan continuamente para detectar nuevas vulnerabilidades hasta 30 días después de subir la imagen.

API On-Demand Scanning

Cuando está habilitada, puedes escanear manualmente imágenes locales o imágenes almacenadas en Artifact Registry. Esta función te ayuda a detectar y solucionar vulnerabilidades en las primeras fases de tu canalización de compilación. Por ejemplo, puedes usar Cloud Build para analizar una imagen después de compilarla y, a continuación, bloquear la subida a Artifact Registry si el análisis detecta vulnerabilidades con un nivel de gravedad específico. Si también has habilitado el análisis automático de vulnerabilidades, Artifact Analysis también analiza las imágenes que subas al registro.

Política de despliegue

Puedes usar Autorización binaria para configurar una política que el servicio aplique cuando se intente desplegar una imagen de contenedor en uno de los entornos admitidos Google Cloud .

Por ejemplo, puedes configurar la autorización binaria para que solo permita los despliegues si una imagen está firmada para cumplir una política de análisis de vulnerabilidades.

Eliminar imágenes que no se usan

Elimina las imágenes de contenedor que no utilices para reducir los costes de almacenamiento y mitigar los riesgos de usar software antiguo. Hay varias herramientas disponibles para ayudarte con esta tarea, como gcr-cleaner. La herramienta gcr-cleaner no es un producto oficial de Google.

Atención temprana a la seguridad

Integrar los objetivos de seguridad de la información en el trabajo diario puede ayudar a aumentar el rendimiento del envío de software y a crear sistemas más seguros. Esta idea también se conoce como desplazamiento hacia la izquierda, ya que los problemas, incluidos los de seguridad, se abordan en fases más tempranas del ciclo de vida de desarrollo de software (es decir, a la izquierda en un diagrama de programación de izquierda a derecha). El cambio de seguridad a la izquierda es una de las funciones de DevOps identificadas en el programa de investigación State of DevOps de DORA.

Para obtener más información al respecto:

• Consulta información sobre la función Atención temprana a la seguridad.
• Lee el informe Shifting left on security, que describe las responsabilidades, las prácticas, los procesos, las herramientas y las técnicas que aumentan la confianza en el ciclo de vida del desarrollo de software (SDLC) y reducen la preocupación por los riesgos de seguridad.

Consideraciones sobre los repositorios públicos

Ten en cuenta los siguientes casos:

• Uso de artefactos de fuentes públicas
• Hacer públicos tus repositorios de Artifact Registry

Usar artefactos de fuentes públicas

Las siguientes fuentes públicas de artefactos proporcionan herramientas que puedes usar o dependencias para tus compilaciones e implementaciones:

• GitHub
• Docker Hub
• PyPI
• Registro público de npm

Sin embargo, tu organización puede tener limitaciones que afecten al uso de artefactos públicos. Por ejemplo:

• Quieres controlar el contenido de tu cadena de suministro de software.
• No quieres depender de un repositorio externo.
• Quieres controlar estrictamente las vulnerabilidades de tu entorno de producción.
• Quieres que todas las imágenes tengan el mismo sistema operativo base.

Para proteger tu cadena de suministro de software, puedes seguir estos enfoques:

• Configura compilaciones automáticas para que tus artefactos tengan un contenido coherente y conocido. Puedes usar activadores de compilación de Cloud Build u otras herramientas de integración continua.

• Utiliza imágenes base estandarizadas. Google proporciona algunas imágenes base que puedes usar.

• Aborda las vulnerabilidades de tus artefactos. Puedes usar la API On-Demand Scanning para analizar las imágenes de contenedor en busca de vulnerabilidades antes de almacenarlas en Artifact Registry. Artifact Analysis también puede analizar los contenedores que envíes a Artifact Registry.

• Aplica tus estándares internos en las implementaciones de imágenes. La autorización binaria proporciona medidas de cumplimiento para los despliegues de imágenes de contenedor en entornos Google Cloud compatibles.

Repositorios públicos de Artifact Registry

Para hacer público un repositorio de Artifact Registry, debes asignar el rol Lector de Artifact Registry a la identidad allUsers.

Si todos tus usuarios tienen Google Cloud cuentas, puedes limitar el acceso a los usuarios autenticados con la identidad allAuthenticatedUsers.

Antes de hacer público un repositorio de Artifact Registry, ten en cuenta las siguientes directrices:

• Verifica que todos los artefactos que almacenes en el repositorio se puedan compartir públicamente y que no expongan credenciales, datos personales ni datos confidenciales.
• De forma predeterminada, los proyectos tienen cuotas por usuario ilimitadas. Para evitar abusos, limita las cuotas por usuario de tu proyecto.

- Se te cobra por la transferencia de datos de red cuando los usuarios descargan artefactos. Si prevés un gran volumen de tráfico de descarga de Internet, ten en cuenta los costes asociados.

Guía para aplicaciones web

• La lista OWASP Top 10 incluye los principales riesgos de seguridad de las aplicaciones web según el Open Web Application Security Project (OSWAP).

Directrices para contenedores

• En las prácticas recomendadas de Docker se incluyen recomendaciones para crear imágenes.

• El Center for Internet Security (CIS) tiene un benchmark de Docker para evaluar la seguridad de un contenedor de Docker.

  Docker proporciona una secuencia de comandos de código abierto llamada Docker Bench for Security. Puedes usar la secuencia de comandos para validar un contenedor de Docker en ejecución con respecto a la prueba comparativa de Docker del CIS.

  Docker Bench For Security puede ayudarte a verificar muchos elementos de la prueba comparativa de Docker del CIS, pero no todos los elementos se pueden verificar con la secuencia de comandos. Por ejemplo, la secuencia de comandos no puede verificar si el host del contenedor está protegido o si la imagen del contenedor incluye datos personales. Revisa todos los elementos de la comparativa e identifica los que puedan necesitar una verificación adicional.

Siguientes pasos

Más información sobre la gestión de dependencias