本頁說明可協助您保護構件的 Cloud de Confiance 服務和功能。
靜態資料加密
預設情況下, Cloud de Confiance by S3NS 會使用 Google 管理的加密金鑰,自動加密靜態資料。如果您有與資料保護金鑰相關的特定法規遵循或監管規定,可以建立以客戶自行管理的加密金鑰 (CMEK) 加密的存放區。
存取控管
根據預設,所有存放區都是私有。請遵循最低權限安全原則,只授予使用者和服務帳戶所需的最低權限。
防範資料竊取
如要防止資料竊取,可以使用 VPC Service Controls,將 Artifact Registry 和其他 Cloud de Confiance by S3NS 服務放在網路安全範圍內。
移除未使用的圖片
移除未使用的容器映像檔,以降低儲存空間費用,並減少使用舊版軟體的風險。
提早針對安全性進行測試
將資訊安全目標融入日常工作,有助於提升軟體交付效能,並建構更安全的系統。這個概念也稱為「左移」,因為在軟體開發生命週期中,包括安全疑慮在內的各種問題都會提早解決 (也就是在從左到右的排程圖中,問題會出現在左側)。在安全方面左移,是 DORA DevOps 狀態研究計畫中發現的 DevOps 功能之一。
詳情請見:
- 請參閱提早針對安全性進行測試功能。
公開存放區的注意事項
請仔細考慮下列情況:
- 使用公開來源的構件
- 將自己的 Artifact Registry 存放區設為公開
使用公開來源的構件
下列公開構件來源提供您可能使用的工具,或建構及部署作業的依附元件:
不過,貴機構可能設有相關限制,影響您使用公開構件。例如:
- 您想控管軟體供應鏈的內容。
- 您不想依賴外部存放區。
- 您希望嚴格控管正式環境中的安全漏洞。
- 您希望能在每個映像檔中使用相同的基本作業系統。
請考慮採用下列方法,保護軟體供應鏈:
- 使用標準化基本映像檔。Google 提供一些基本映像檔供您使用。
公開 Artifact Registry 存放區
如要將 Artifact Registry 存放區設為公開,請將 Artifact Registry Reader 角色授予 allUsers 身分。
如果所有使用者都有 Cloud de Confiance 帳戶,您可以改用 allAuthenticatedUsers 身分限制已驗證使用者的存取權。
將 Artifact Registry 存放區設為公開前,請先考量下列規範:
網頁應用程式指南
- OWASP Top 10 列出 Open Web Application Security Project (OSWAP) 提出的網頁應用程式安全風險前 10 大清單。
容器指南
網際網路安全中心 (CIS) 提供 Docker 基準,可評估 Docker 容器的安全性。
Docker 提供名為「Docker Bench for Security」的開放原始碼指令碼。您可以使用這個指令碼,根據 CIS Docker 基準驗證正在執行的 Docker 容器。
Docker Bench For Security 可協助您驗證 CIS Docker 基準中的許多項目,但並非所有項目都能透過指令碼驗證。舉例來說,指令碼無法驗證容器的主機是否經過強化,也無法驗證容器映像檔是否包含個人資料。查看基準中的所有項目,找出可能需要額外驗證的項目。