Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más detalles.

Se usó la API de Cloud Translation para traducir esta página.

Controla el acceso y protege los artefactos

En esta página, se describen los servicios y las funciones de Cloud de Confiance que te ayudan a proteger tus artefactos.

Encriptación en reposo

De forma predeterminada, Cloud de Confiance by S3NS encripta los datos automáticamente cuando están en reposo con claves de encriptación administradas por Google. Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes crear repositorios encriptados con claves de encriptación administradas por el cliente (CMEK).

Control de acceso

De forma predeterminada, todos los repositorios son privados. Sigue el principio de seguridad de privilegio mínimo y otorga solo los permisos mínimos que requieren los usuarios y las cuentas de servicio.

Impide el robo de datos

Para evitar el robo de datos, puedes usar los Controles del servicio de VPC para colocar Artifact Registry y otros servicios de Cloud de Confiance by S3NS en un perímetro de seguridad de red.

Cómo quitar imágenes que no se usan

Quita las imágenes de contenedores que no se usen para reducir los costos de almacenamiento y mitigar los riesgos de usar software más antiguo. Existen varias herramientas disponibles para ayudarte con esta tarea, incluida gcr-cleaner. La herramienta gcr-cleaner no es un producto oficial de Google.

Desplazamiento a la izquierda en seguridad

Integrar los objetivos de seguridad de la información en el trabajo diario puede ayudar a aumentar el rendimiento de la entrega de software y a compilar sistemas más seguros. Esta idea también se conoce como desplazamiento a la izquierda, ya que las inquietudes, incluidas las de seguridad, se abordan antes en el ciclo de vida del desarrollo de software (es decir, a la izquierda en un diagrama de programación de izquierda a derecha). Aumentar las medidas de seguridad es una de las capacidades de DevOps que se identificaron en el programa de investigación del estado de DevOps de DORA.

Para obtener más información, haz lo siguiente:

Obtén más información sobre la capacidad de desplazamiento a la izquierda en seguridad.

Consideraciones para los repositorios públicos

Considera con detenimiento los siguientes casos:

Uso de artefactos de fuentes públicas
Cómo hacer públicos tus propios repositorios de Artifact Registry

Usa artefactos de fuentes públicas

Las siguientes fuentes públicas de artefactos proporcionan herramientas que puedes usar o dependencias para tus compilaciones y tus implementaciones:

Sin embargo, es posible que tu organización tenga restricciones que afecten el uso de artefactos públicos. Por ejemplo:

Quieres controlar el contenido de tu cadena de suministro de software.
No quieres depender de un repositorio externo.
Quieres controlar estrictamente las vulnerabilidades en tu entorno de producción.
Quieres tener el mismo sistema operativo de base en cada imagen.

Considera los siguientes enfoques para proteger tu cadena de suministro de software:

Usa imágenes base estandarizadas. Google proporciona algunas imágenes base que puedes utilizar.

Repositorios públicos de Artifact Registry

Puedes hacer público un repositorio de Artifact Registry otorgando el rol de Lector de Artifact Registry a la identidad allUsers.

Si todos tus usuarios tienen cuentas de Cloud de Confiance , puedes limitar el acceso a los usuarios autenticados con la identidad deallAuthenticatedUsers.

Ten en cuenta los siguientes lineamientos antes de hacer público un repositorio de Artifact Registry:

Verifica que todos los artefactos que almacenes en el repositorio se puedan compartir públicamente y no expongan credenciales, datos personales ni datos confidenciales.
De forma predeterminada, los proyectos tienen cuotas por usuario ilimitadas. Para evitar abusos, limita las cuotas por usuario en tu proyecto.

Orientación para aplicaciones web

La lista OWASP Top 10 enumera los principales riesgos de seguridad de las aplicaciones web según el Open Web Application Security Project (OWASP).

Orientación para contenedores

El Centro para la seguridad en Internet (CIS) tiene una referencia de Docker para evaluar la seguridad de un contenedor de Docker.

Docker proporciona una secuencia de comandos de código abierto llamada Docker Bench for Security. Puedes usar la secuencia de comandos para validar un contenedor de Docker en ejecución en relación con la referencia de Docker de CIS.

Docker Bench for Security puede ayudarte a verificar muchos elementos en la referencia de Docker de CIS, pero no todos los elementos se pueden verificar con la secuencia de comandos. Por ejemplo, la secuencia de comandos no puede verificar si el host del contenedor está endurecido o si la imagen del contenedor incluye datos personales. Revisa todos los elementos de la referencia y también identifica aquellos que podrían necesitar una verificación adicional.