Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שליטה בגישה והגנה על פריטי מידע שנוצרים בתהליך פיתוח (Artifact)

בדף הזה מוסבר על Cloud de Confiance שירותים ותכונות שיעזרו לכם להגן על הארטיפקטים.

הצפנה במנוחה

כברירת מחדל, Cloud de Confiance by S3NS הנתונים מוצפנים אוטומטית כשהם במצב מנוחה באמצעות מפתחות הצפנה שמנוהלים על ידי Google. אם יש לכם דרישות ספציפיות לתאימות או דרישות רגולטוריות שקשורות למפתחות שמגנים על הנתונים, אתם יכולים ליצור מאגרי נתונים מוצפנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK).

בקרת גישה

כברירת מחדל, כל המאגרים הם פרטיים. חשוב לפעול לפי עקרון האבטחה של הרשאות מינימליות ולהעניק רק את ההרשאות המינימליות שנדרשות למשתמשים ולחשבונות שירות.

מניעת זליגת מידע

כדי למנוע זליגת נתונים, אפשר להשתמש ב-VPC Service Controls כדי למקם את Artifact Registry ושירותים אחרים של Cloud de Confiance by S3NS במתחם אבטחה היקפי של רשת.

הסרה של תמונות שלא בשימוש

כדי להפחית את עלויות האחסון ולצמצם את הסיכונים בשימוש בתוכנה ישנה, מומלץ להסיר תמונות קונטיינר שלא נמצאות בשימוש.

התמקדות באבטחה

שילוב של יעדי אבטחת מידע בעבודה היומיומית יכול לעזור לשפר את הביצועים של הכנת תוכנה להפצה ולבנות מערכות מאובטחות יותר. הגישה הזו נקראת גם shifting left (תזוזה שמאלה), כי הבעיות, כולל בעיות אבטחה, מטופלות בשלב מוקדם יותר במחזור החיים של פיתוח התוכנה (כלומר, בצד שמאל בתרשים של לוח זמנים משמאל לימין). הזזה שמאלה של האבטחה היא אחת מהיכולות של DevOps שזוהו בתוכנית המחקר DORA State of DevOps.

מידע נוסף:

מידע נוסף על היכולת הזזה שמאלה של האבטחה

שיקולים לגבי מאגרים ציבוריים

כדאי להביא בחשבון את המקרים הבאים:

שימוש בארטיפקטים ממקורות ציבוריים
הגדרת מאגרי Artifact Registry כגלויים לכולם

שימוש בארטיפקטים ממקורות ציבוריים

מקורות ציבוריים של ארטיפקטים מספקים כלים שבהם אתם יכולים להשתמש או תלויות עבור הבנייה והפריסה שלכם:

עם זאת, יכול להיות שיש בארגון שלכם אילוצים שמשפיעים על השימוש שלכם בארטיפקטים ציבוריים. לדוגמה:

אתם רוצים לשלוט בתוכן של שרשרת אספקת התוכנה.
אתם לא רוצים להסתמך על מאגר חיצוני.
אתם רוצים לשלוט באופן קפדני בפגיעויות בסביבת הייצור.
אתם רוצים את אותה מערכת הפעלה בסיסית בכל תמונה.

כדי לאבטח את שרשרת אספקת התוכנה, אפשר להשתמש בגישות הבאות:

משתמשים בתמונות בסיס סטנדרטיות. ‫Google מספקת כמה תמונות בסיס שאפשר להשתמש בהן.

מאגרי Artifact Registry ציבוריים

כדי להגדיר מאגר Artifact Registry כציבורי, צריך להעניק את התפקיד Artifact Registry Reader לזהות allUsers.

אם לכל המשתמשים שלכם יש Cloud de Confiance חשבונות, אתם יכולים להגביל את הגישה למשתמשים מאומתים עם זהות allAuthenticatedUsers במקום זאת.

לפני שהופכים מאגר Artifact Registry לציבורי, כדאי לעיין בהנחיות הבאות:

מוודאים שכל הארטיפקטים שמאוחסנים במאגר ניתנים לשיתוף עם הציבור, ושלא נחשפים בהם פרטי כניסה, נתונים אישיים או נתונים סודיים.
כברירת מחדל, בפרויקטים אין מכסות לכל משתמש. כדי למנוע שימוש לרעה, כדאי להגביל את המכסות לכל משתמש בפרויקט.

הנחיות לאפליקציות אינטרנט

OWASP Top 10 מפרט את הסיכונים העיקריים לאבטחת אפליקציות אינטרנט לפי Open Web Application Security Project‏ (OSWAP).

הנחיות לגבי קונטיינרים

ל-Center for Internet Security ‏ (CIS) יש Docker Benchmark להערכת האבטחה של קונטיינר Docker.

‫Docker מספקת סקריפט בקוד פתוח שנקרא Docker Bench for Security. אפשר להשתמש בסקריפט כדי לאמת קונטיינר Docker פעיל בהשוואה ל-CIS Docker Benchmark.

הכלי Docker Bench For Security יכול לעזור לכם לאמת הרבה פריטים ב-CIS Docker Benchmark, אבל לא את כל הפריטים. לדוגמה, הסקריפט לא יכול לאמת אם המארח של הקונטיינר מוקשח או אם קובץ אימג' של קונטיינר כולל מידע אישי. בודקים את כל הפריטים בהשוואה ומזהים את הפריטים שעשויים לדרוש אימות נוסף.