Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriff steuern und Artefakte schützen

Auf dieser Seite werden Cloud de Confiance Dienste und Funktionen beschrieben, mit denen Sie Ihre Artefakte schützen können.

Verschlüsselung inaktiver Daten

Standardmäßig verschlüsselt Cloud de Confiance by S3NS Daten im inaktiven Zustand automatisch mit von Google verwalteten Verschlüsselungsschlüsseln. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie Repositories erstellen, die mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt sind.

Zugriffssteuerung

Standardmäßig sind alle Repositories privat. Halten Sie sich an das Sicherheitsprinzip der geringsten Berechtigung und erteilen Sie Nutzern und Dienstkonten nur die erforderlichen Mindestberechtigungen.

Daten-Exfiltration verhindern

Um Daten-Exfiltration zu verhindern, können Sie VPC Service Controls verwenden, um Artifact Registry und andere Cloud de Confiance by S3NS Dienste in einem Netzwerksicherheitsperimeter zu platzieren.

Nicht verwendete Images entfernen

Entfernen Sie nicht verwendete Container-Images, um die Speicherkosten zu senken und das Risiko zu verringern, dass ältere Software verwendet wird. Es gibt eine Reihe von Tools, die Ihnen bei dieser Aufgabe helfen können, einschließlich gcr-cleaner. Das gcr-cleaner-Tool ist kein offizielles Google-Produkt.

Ein Linksruck bei der Sicherheit

Durch die Integration von Zielen zur Informationssicherheit in die tägliche Arbeit können Teams ihre Leistung bei der Softwarebereitstellung steigern und sicherere Systeme aufbauen. Diese Idee wird auch als Shift-Left-Modell bezeichnet, weil Bedenken, darunter auch Sicherheitsprobleme, früher im Lebenszyklus der Softwareentwicklung angegangen werden (d. h. in einem Planungsdiagramm, dessen Leserichtung von links nach rechts geht, also weiter links). Die Linksverschiebung bei der Sicherheit ist eine der DevOps-Funktionen, die im DORA State of DevOps-Forschungsprogramm ermittelt wurden.

Weitere Informationen:

Weitere Informationen zur Funktion „Ein Linksruck bei der Sicherheit“

Hinweise zu öffentlichen Repositories

Beachten Sie folgende Fälle:

Verwendung von Artefakten aus öffentlichen Quellen
Eigene Artifact Registry-Repositories öffentlich machen

Artefakte aus öffentlichen Quellen verwenden

Die folgenden öffentlichen Quellen für Artefakte bieten Tools, die Sie verwenden können, oder Abhängigkeiten für Ihre Builds und Bereitstellungen:

Ihre Organisation hat jedoch möglicherweise Einschränkungen, die sich auf die Verwendung öffentlicher Artefakte auswirken. Beispiel:

Sie möchten den Inhalt Ihrer Softwarelieferkette kontrollieren.
Sie möchten nicht auf ein externes Repository angewiesen sein.
Sie möchten Sicherheitslücken in Ihrer Produktionsumgebung streng kontrollieren.
Sie wünschen in jedem Image dasselbe Basisbetriebssystem.

Mit den folgenden Ansätzen können Sie Ihre Softwarelieferkette schützen:

Verwenden Sie standardisierte Basis-Images. Google stellt einige Basis-Images zur Verfügung, die Sie verwenden können.

Öffentliche Artifact Registry-Repositories

Sie können ein Artifact Registry-Repository veröffentlichen, indem Sie der Identität allUsers die Rolle „Artifact Registry Reader“ zuweisen.

Wenn alle Nutzer Cloud de Confiance -Konten haben, können Sie den Zugriff auf authentifizierte Nutzer stattdessen mit der Identität allAuthenticatedUsers beschränken.

Beachten Sie die folgenden Richtlinien, bevor Sie ein Artifact Registry-Repository veröffentlichen:

Achten Sie darauf, dass alle im Repository gespeicherten Artefakte öffentlich freigegeben werden können und keine Anmeldedaten, personenbezogenen Daten oder vertraulichen Daten enthalten.
Standardmäßig haben Projekte ein unbegrenztes nutzerbezogenes Kontingent. Um Missbrauch zu verhindern, begrenzen Sie das nutzerbezogene Kontingent in Ihrem Projekt.

Hinweise für Webanwendungen

Die OWASP Top 10 listet die wichtigsten Sicherheitsrisiken für Webanwendungen gemäß dem Open Web Application Security Project (OWASP) auf.

Anleitung für Container

Das Center for Internet Security (CIS) bietet eine Docker-Benchmark zur Bewertung der Sicherheit eines Docker-Containers.

Außerdem stellt Docker ein Open-Source-Skript namens Docker Bench for Security bereit. Mit diesem Skript können Sie einen laufenden Docker-Container anhand der CIS-Docker-Benchmark prüfen.

Mit Docker Bench for Security lassen sich viele Elemente der CIS-Docker-Benchmark prüfen, allerdings nicht alle. Beispielsweise kann das Skript nicht feststellen, ob der Host für den Container gehärtet ist oder ob das Container-Image personenbezogene Daten enthält. Sehen Sie sich alle Elemente der Benchmark an und identifizieren Sie diejenigen, die möglicherweise zusätzlich geprüft werden müssen.