Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Controllare l'accesso e proteggere gli artefatti

Questa pagina descrive i servizi e le funzionalità che ti aiutano a proteggere gli artefatti. Cloud de Confiance

Crittografia dei dati inattivi

Per impostazione predefinita, Cloud de Confiance by S3NS cripta automaticamente i dati at-rest utilizzando chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i tuoi dati, puoi creare repository criptati con chiavi di crittografia gestite dal cliente (CMEK).

Controllo degli accessi

Per impostazione predefinita, tutti i repository sono privati. Segui il principio di sicurezza del privilegio minimo e concedi solo le autorizzazioni minime richieste da utenti e service account.

Prevenzione dell'esfiltrazione di dati

Per impedire l'esfiltrazione di dati, puoi utilizzare i controlli di servizio VPC per inserire Artifact Registry e altri servizi Cloud de Confiance by S3NS in un perimetro di sicurezza di rete.

Rimozione delle immagini inutilizzate

Rimuovi le immagini container non utilizzate per ridurre i costi di archiviazione e mitigare i rischi dell'utilizzo di software meno recenti. Esistono diversi strumenti disponibili per aiutarti in questa attività, tra cui gcr-cleaner. Lo strumento gcr-cleaner non è un prodotto Google ufficiale.

Sicurezza fin dalle prime fasi

L'integrazione degli obiettivi di sicurezza delle informazioni nel lavoro quotidiano può contribuire ad aumentare le prestazioni di distribuzione del software e a creare sistemi più sicuri. Questa idea è anche nota come shifting left, perché i problemi, inclusi quelli di sicurezza, vengono affrontati nelle prime fasi del ciclo di vita di sviluppo del software (ovvero a sinistra in un diagramma di pianificazione da sinistra a destra). Lo spostamento a sinistra della sicurezza è una delle funzionalità DevOps identificate nel programma di ricerca DORA State of DevOps.

Per saperne di più:

Scopri di più sulla funzionalità Sicurezza fin dalle prime fasi.

Considerazioni sui repository pubblici

Valuta attentamente i seguenti casi:

Utilizzo di artefatti provenienti da fonti pubbliche
Rendere pubblici i tuoi repository Artifact Registry

Utilizzo di artefatti provenienti da fonti pubbliche

Le seguenti origini pubbliche di artefatti forniscono strumenti che potresti utilizzare o dipendenze per le tue build e i tuoi deployment:

Tuttavia, la tua organizzazione potrebbe avere vincoli che influiscono sul tuo utilizzo degli artefatti pubblici. Ad esempio:

Vuoi controllare i contenuti della tua catena di fornitura del software.
Non vuoi dipendere da un repository esterno.
Vuoi controllare rigorosamente le vulnerabilità nel tuo ambiente di produzione.
Vuoi lo stesso sistema operativo di base in ogni immagine.

Per proteggere la catena di fornitura del software, valuta i seguenti approcci:

Utilizza immagini di base standardizzate. Google fornisce alcune immagini di base che puoi utilizzare.

Repository Artifact Registry pubblici

Puoi rendere pubblico un repository Artifact Registry concedendo il ruolo Lettore Artifact Registry all'identità allUsers.

Se tutti i tuoi utenti hanno Cloud de Confiance account, puoi limitare l'accesso agli utenti autenticati con l'identità allAuthenticatedUsers.

Prima di rendere pubblico un repository Artifact Registry, tieni presente le seguenti linee guida:

Verifica che tutti gli artefatti archiviati nel repository siano condivisibili pubblicamente e non espongano credenziali, dati personali o dati riservati.
Per impostazione predefinita, i progetti prevedono quote per utente illimitate. Per prevenire abusi, limita le quote per utente all'interno del progetto.

Indicazioni per le applicazioni web

L'OWASP Top 10 elenca i principali rischi per la sicurezza delle applicazioni web secondo l'Open Web Application Security Project (OSWAP).

Indicazioni per i container

Il Center for Internet Security (CIS) ha un benchmark Docker per valutare la sicurezza di un container Docker.

Docker fornisce uno script open source chiamato Docker Bench for Security. Puoi utilizzare lo script per convalidare un container Docker in esecuzione rispetto al benchmark CIS Docker.

Docker Bench For Security può aiutarti a verificare molti elementi del CIS Docker Benchmark, ma non tutti sono verificabili con lo script. Ad esempio, lo script non può verificare se l'host per il container è protetto o se l'immagine container include dati personali. Esamina tutti gli elementi nel benchmark e identifica quelli che potrebbero richiedere una verifica aggiuntiva.