Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Mengontrol akses dan melindungi artefak

Halaman ini menjelaskan layanan dan fitur Cloud de Confiance yang membantu Anda mengamankan artefak.

Enkripsi dalam penyimpanan

Secara default, Cloud de Confiance by S3NS otomatis mengenkripsi data saat dalam penyimpanan menggunakan kunci enkripsi yang dikelola oleh Google. Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus terkait dengan kunci yang melindungi data, Anda dapat membuat repositori yang dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Kontrol akses

Secara default, semua repositori bersifat pribadi. Ikuti prinsip keamanan dengan hak istimewa terendah dan hanya berikan izin minimum yang diperlukan oleh pengguna dan akun layanan.

Mencegah pemindahan data yang tidak sah

Untuk mencegah pemindahan data yang tidak sah, Anda dapat menggunakan Kontrol Layanan VPC untuk menempatkan Artifact Registry dan layanan Cloud de Confiance by S3NS lainnya dalam perimeter keamanan jaringan.

Menghapus gambar yang tidak digunakan

Hapus image container yang tidak digunakan untuk mengurangi biaya penyimpanan dan memitigasi risiko penggunaan software yang lebih lama. Ada sejumlah alat yang tersedia untuk membantu tugas ini, termasuk gcr-cleaner. Alat gcr-cleaner bukan produk resmi Google.

Shifting left on security

Mengintegrasikan tujuan keamanan informasi ke dalam pekerjaan sehari-hari dapat membantu meningkatkan performa pengiriman software dan membangun sistem yang lebih aman. Konsep ini juga dikenal sebagai pengujian kemampuan awal, karena masalah, termasuk masalah keamanan, ditangani lebih awal dalam siklus proses pengembangan software (yaitu, di sebelah kiri dalam diagram jadwal kiri-ke-kanan). Mengalihkan ke kiri dalam keamanan adalah salah satu kemampuan DevOps yang diidentifikasi dalam program riset DORA State of DevOps.

Untuk mempelajari lebih lanjut:

Baca tentang kemampuan Mengalihkan ke kiri dalam keamanan.

Pertimbangan untuk repositori publik

Pertimbangkan kasus berikut dengan cermat:

Penggunaan artefak dari sumber publik
Membuat repositori Artifact Registry Anda sendiri menjadi publik

Menggunakan artefak dari sumber publik

Sumber artefak publik berikut menyediakan alat yang dapat Anda gunakan atau dependensi untuk build dan deployment Anda:

Namun, organisasi Anda mungkin memiliki batasan yang memengaruhi penggunaan artefak publik. Contoh:

Anda ingin mengontrol konten supply chain software Anda.
Anda tidak ingin bergantung pada repositori eksternal.
Anda ingin mengontrol kerentanan di lingkungan produksi dengan ketat.
Anda menginginkan sistem operasi dasar yang sama di setiap image.

Pertimbangkan pendekatan berikut untuk mengamankan supply chain software Anda:

Gunakan image dasar standar. Google menyediakan beberapa image dasar yang dapat Anda gunakan.

Repositori Artifact Registry publik

Anda dapat membuat repositori Artifact Registry menjadi publik dengan memberikan peran Artifact Registry Reader ke identitas allUsers.

Jika semua pengguna Anda memiliki akun, Anda dapat membatasi akses ke pengguna terautentikasi dengan identitas allAuthenticatedUsers. Cloud de Confiance

Pertimbangkan panduan berikut sebelum membuat repositori Artifact Registry menjadi publik:

Pastikan semua artefak yang Anda simpan di repositori dapat dibagikan secara publik dan tidak mengekspos kredensial, data pribadi, atau data rahasia.
Secara default, project memiliki kuota per pengguna yang tidak terbatas. Untuk mencegah penyalahgunaan, batasi kuota per pengguna dalam project Anda.

Panduan untuk aplikasi web

10 Teratas OWASP mencantumkan risiko keamanan aplikasi web teratas menurut Open Web Application Security Project (OSWAP).

Panduan untuk container

Center for Internet Security (CIS) memiliki Docker Benchmark untuk mengevaluasi keamanan penampung Docker.

Docker menyediakan skrip open source yang disebut Docker Bench for Security. Anda dapat menggunakan skrip untuk memvalidasi container Docker yang sedang berjalan terhadap Tolok Ukur Docker CIS.

Docker Bench For Security dapat membantu Anda memverifikasi banyak item dalam CIS Docker Benchmark, tetapi tidak semua item dapat diverifikasi dengan skrip. Misalnya, skrip tidak dapat memverifikasi apakah host untuk penampung telah diamankan atau apakah image penampung menyertakan data pribadi. Tinjau semua item dalam tolok ukur dan identifikasi item yang mungkin memerlukan verifikasi tambahan.