本页面介绍了可帮助您保护制品安全的 Cloud de Confiance 服务和功能。
静态加密
默认情况下, Cloud de Confiance by S3NS 会使用 Google 管理的加密密钥自动加密静态数据。如果您对保护数据的密钥有特定的合规性或监管要求,则可以创建使用客户管理的加密密钥 (CMEK) 加密的代码库。
访问权限控制
默认情况下,所有代码库都是私有的。遵循最小权限安全原则,仅授予用户和服务账号所需的最低限度的权限。
防止数据渗漏
为防止数据渗漏,您可以使用 VPC Service Controls 将 Artifact Registry 和其他 Cloud de Confiance by S3NS 服务放置在网络安全边界内。
移除未使用的映像
移除未使用的容器映像以降低存储费用并降低使用旧版软件的风险。您可以使用许多工具来帮助完成此任务,包括 gcr-cleaner。gcr-cleaner 工具并非 Google 官方产品。
更早将安全性纳入软件开发流程
将信息安全目标整合到日常工作中,有助于提高软件交付性能并构建更安全的系统。这种想法也称为“左移”,因为问题(包括安全问题)是在软件开发生命周期的较早阶段(即,在从左到右的时间表图中位于左侧)解决的。“更早将安全性纳入软件开发流程”是 DORA DevOps 现状研究项目中确定的一项 DevOps 能力。
如需了解详情,请参阅以下内容:
- 了解更早将安全性纳入软件开发流程功能。
公共代码库的注意事项
请仔细考虑以下情况:
- 使用来自公共来源的制品
- 公开您自己的 Artifact Registry 代码库
使用来自公共来源的制品
以下公开的制品来源提供了您可能会使用的工具,或用于构建和部署的依赖项:
不过,您的组织可能存在影响您使用公共制品的限制。例如:
- 您希望控制软件供应链的内容。
- 不希望依赖外部代码库。
- 需要严格控制生产环境中的漏洞。
- 需要在每个映像中使用相同的基本操作系统。
不妨考虑以下方法来保护软件供应链:
- 使用标准化的基础映像。Google 提供了一些可供您使用的基础映像。
公共 Artifact Registry 制品库
您可以向 allUsers 身份授予 Artifact Registry Reader 角色,以便公开 Artifact Registry 代码库。
如果所有用户都有 Cloud de Confiance 账号,您可以改用 allAuthenticatedUsers 身份来限制经过身份验证的用户的访问权限。
在将 Artifact Registry 代码库设为公开之前,请考虑以下准则:
Web 应用指南
- OWASP Top 10 根据开放式 Web 应用安全项目 (OSWAP) 列出了最重要的 Web 应用安全风险。
容器指南
互联网安全中心 (CIS) 提供一项 Docker 基准,用于评估 Docker 容器的安全性。
Docker 提供了一个名为 Docker Bench for Security 的开源脚本。您可以使用该脚本根据 CIS Docker 基准验证正在运行的 Docker 容器。
Docker Bench For Security 可以帮助您验证 CIS Docker 基准中的很多项,但并非所有项都可通过该脚本进行验证。例如,该脚本无法验证容器的主机是否经过了安全强化,或者容器映像是否包含个人数据。查看该基准中的所有项,并找出可能需要额外验证的项。