Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Controle o acesso e proteja os artefactos

Esta página descreve os Cloud de Confiance serviços e as funcionalidades que ajudam a proteger os seus artefactos.

Encriptação em repouso

Por predefinição,o Cloud de Confiance by S3NS encripta automaticamente os dados quando estão em repouso através de chaves de encriptação geridas pela Google. Se tiver requisitos de conformidade ou regulamentares específicos relacionados com as chaves que protegem os seus dados, pode criar repositórios encriptados com chaves de encriptação geridas pelo cliente (CMEK).

Controlo de acesso

Por predefinição, todos os repositórios são privados. Siga o princípio de segurança do privilégio mínimo e conceda apenas as autorizações mínimas que são necessárias para os utilizadores e as contas de serviço.

Impeça a exfiltração de dados

Para evitar a exfiltração de dados, pode usar os VPC Service Controls para colocar o Artifact Registry e outros Cloud de Confiance by S3NS serviços num perímetro de segurança de rede.

Remover imagens não usadas

Remova imagens de contentores não usadas para reduzir os custos de armazenamento e mitigar os riscos de usar software mais antigo. Existem várias ferramentas disponíveis para ajudar nesta tarefa, incluindo o gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial da Google.

Mudar o foco para a segurança

A integração dos objetivos de segurança da informação no trabalho diário pode ajudar a aumentar o desempenho da entrega de software e a criar sistemas mais seguros. Esta ideia também é conhecida como deslocamento para a esquerda, porque as preocupações, incluindo as de segurança, são abordadas mais cedo no ciclo de vida de desenvolvimento de software (ou seja, à esquerda num diagrama de agendamento da esquerda para a direita). A mudança para a esquerda na segurança é uma das capacidades de DevOps identificadas no programa de investigação State of DevOps da DORA.

Para saber mais:

Leia acerca da capacidade de Teste a segurança numa fase inicial (Shift left testing).

Considerações para repositórios públicos

Considere cuidadosamente os seguintes casos:

Utilização de artefactos de fontes públicas
Tornar os seus próprios repositórios do Artifact Registry públicos

Usar artefactos de origens públicas

As seguintes origens públicas de artefactos fornecem ferramentas que pode usar ou dependências para as suas compilações e implementações:

No entanto, a sua organização pode ter restrições que afetam a sua utilização de artefactos públicos. Por exemplo:

Quer controlar o conteúdo da sua cadeia de abastecimento de software.
Não quer depender de um repositório externo.
Quer controlar rigorosamente as vulnerabilidades no seu ambiente de produção.
Quer o mesmo sistema operativo base em todas as imagens.

Considere as seguintes abordagens para proteger a sua cadeia de abastecimento de software:

Use imagens de base padronizadas. A Google disponibiliza algumas imagens base que pode usar.

Repositórios públicos do Artifact Registry

Pode tornar um repositório do Artifact Registry público concedendo a função de leitor do Artifact Registry à identidade allUsers.

Se todos os seus utilizadores tiverem Cloud de Confiance contas, pode limitar o acesso a utilizadores autenticados com a identidade allAuthenticatedUsers.

Considere as seguintes diretrizes antes de tornar um repositório do Artifact Registry público:

Verifique se todos os artefactos que armazena no repositório são partilháveis publicamente e não expõem credenciais, dados pessoais nem dados confidenciais.
Por predefinição, os projetos têm quotas ilimitadas por utilizador. Para evitar a utilização abusiva, limite as quotas por utilizador no seu projeto.

Orientações para aplicações Web

A OWASP Top 10 indica os principais riscos de segurança de apps Web de acordo com o Open Web Application Security Project (OSWAP).

Orientações para contentores

O Center for Internet Security (CIS) tem uma referência do Docker para avaliar a segurança de um contentor do Docker.

O Docker fornece um script de código aberto denominado Docker Bench for Security. Pode usar o script para validar um contentor Docker em execução de acordo com a norma CIS Docker Benchmark.

O Docker Bench For Security pode ajudar a validar muitos itens na CIS Docker Benchmark, mas nem todos os itens são validáveis com o script. Por exemplo, o script não pode validar se o anfitrião do contentor está protegido ou se a imagem do contentor inclui dados pessoais. Reveja todos os itens na referência e identifique os que podem precisar de validação adicional.