Software Delivery Shield è una soluzione end-to-end completamente gestita per la sicurezza della catena di fornitura del software. Fornisce un set completo e modulare di funzionalità e strumenti per tutti i prodotti Google Cloud che sviluppatori, DevOps e team di sicurezza possono utilizzare per migliorare il livello di sicurezza della catena di fornitura del software.
Software Delivery Shield è costituito da:
- Prodotti e funzionalità Google Cloud che incorporano best practice per la sicurezza per sviluppo, creazione, test, scansione, deployment e applicazione dei criteri.
- Dashboard nella console Google Cloud che mostrano informazioni sulla sicurezza su origine, build, artefatti, deployment e runtime. Queste informazioni includono vulnerabilità negli artefatti delle build, provenienza ed origine ed elenco delle dipendenze della BOM (Software Bill of Materials).
- Informazioni che identificano il livello di maturità della sicurezza della catena di fornitura del software utilizzando il framework SLSA (Supply chain Levels for Software Artifacts).
Componenti di Software Delivery Shield
Il seguente diagramma illustra il modo in cui i diversi servizi all'interno di Software Delivery Shield operano insieme per proteggere la catena di fornitura del software:
Le sezioni seguenti spiegano i prodotti e le funzionalità che fanno parte della soluzione Software Delivery Shield:
Componenti che contribuiscono a proteggere lo sviluppo
I seguenti componenti di Software Delivery Shield proteggono il codice sorgente del software:
Cloud Workstations
Cloud Workstations fornisce ambienti di sviluppo completamente gestiti su Google Cloud. Consente agli amministratori IT e della sicurezza di eseguire il provisioning, scalare, gestire e proteggere i propri ambienti di sviluppo e consente agli sviluppatori di accedere agli ambienti di sviluppo con configurazioni coerenti e strumenti personalizzabili.
Cloud Workstations contribuisce a modificare il livello di sicurezza migliorando la condizione di sicurezza degli ambienti di sviluppo delle applicazioni. Include funzionalità di sicurezza come Controlli di servizio VPC, traffico privato in entrata o in uscita, aggiornamento forzato delle immagini e criteri di accesso a Identity and Access Management. Per ulteriori informazioni, consulta la documentazione di Cloud Workstations.
Protezione da source protect Cloud Code (anteprima)
Cloud Code fornisce il supporto IDE per creare, eseguire il deployment e integrare le applicazioni con Google Cloud. Consente agli sviluppatori di creare e personalizzare una nuova applicazione da modelli di esempio ed eseguire l'applicazione finita. Source protect Cloud Code offre agli sviluppatori feedback sulla sicurezza in tempo reale, come l'identificazione delle dipendenze vulnerabili e la segnalazione delle licenze, mentre lavorano nei loro IDE. Fornisce un feedback rapido e strategico che consente agli sviluppatori di apportare correzioni al loro codice all'inizio del processo di sviluppo del software.
Disponibilità delle funzionalità: source protect di Cloud Code non è disponibile per l'accesso pubblico. Per accedere a questa funzionalità, consulta la pagina di richiesta di accesso.
Componenti che contribuiscono a proteggere la fornitura del software
Proteggere la fornitura del software (artefatto della build e dipendenze delle applicazioni) è un passaggio fondamentale per migliorare la sicurezza della catena di fornitura del software. L'uso pervasivo di software open source rende questo problema particolarmente impegnativo.
I seguenti componenti di Software Delivery Shield consentono di proteggere gli artefatti delle build e le dipendenze delle applicazioni:
OSS di Assured
Il servizio Assured OSS ti consente di accedere ai pacchetti OSS che sono stati verificati e testati da Google e incorporarli. Fornisce pacchetti Java e Python creati utilizzando le pipeline sicure di Google. Questi pacchetti vengono regolarmente analizzati, analizzati e testati per rilevare eventuali vulnerabilità. Per ulteriori informazioni, consulta la documentazione di Assured Open Source Software.
Artifact Registry e Artifact Analysis
Artifact Registry consente di archiviare, proteggere e gestire gli artefatti delle build e Artifact Analysis rileva proattivamente le vulnerabilità per gli artefatti in Artifact Registry. Artifact Registry fornisce le seguenti funzionalità per migliorare la postura di sicurezza della catena di fornitura del software:
- Artifact Analysis offre analisi on demand o automatica integrata per immagini container di base e pacchetti di linguaggio all'interno dei container.
- Artifact Analysis consente di generare una distinta base del software (SBOM) e caricare istruzioni VEX (Vulnerability Exploitability eXchange) per le immagini in Artifact Registry.
- Artifact Analysis fornisce un'analisi autonoma che identifica le vulnerabilità esistenti e le nuove vulnerabilità all'interno delle dipendenze open source utilizzate dagli artefatti Maven (anteprima). La scansione viene eseguita ogni volta che esegui il push di un progetto Java in Artifact Registry. Dopo la scansione iniziale, Artifact Analysis monitora costantemente i metadati per trovare immagini scansionate in Artifact Registry per rilevare nuove vulnerabilità.
- Artifact Registry supporta repository remoti e repository virtuali. I repository remoti memorizzano artefatti da origini esterne preimpostate, come Docker Hub, Maven Central, Python Package Index (PyPI), Debian o CentOS, nonché origini definite dall'utente per i formati supportati. La memorizzazione nella cache degli artefatti nei repository remoti riduce i tempi di download, migliora la disponibilità dei pacchetti e include l'analisi delle vulnerabilità se l'analisi è abilitata. I repository virtuali consolidano i repository dello stesso formato dietro un unico endpoint e consentono di controllare l'ordine di ricerca nei repository a monte. Puoi assegnare la priorità ai tuoi pacchetti privati, il che riduce il rischio di attacchi di confusione di dipendenze.
Componenti che contribuiscono a proteggere la pipeline CI/CD
I malintenzionati possono attaccare le catene di fornitura del software compromettendo le pipeline CI/CD. I seguenti componenti di Software Delivery Shield aiutano a proteggere la pipeline CI/CD:
Cloud Build
Cloud Build esegue le build sull'infrastruttura Google Cloud. Offre funzionalità di sicurezza come autorizzazioni IAM granulari, Controlli di servizio VPC e ambienti di build isolati e temporanei. Inoltre, fornisce le seguenti funzionalità per migliorare la security posture della catena di fornitura del software:
- Supporta le build SLSA livello 3 per le immagini container.
- Genera una provenienza autenticata e non falsificabile per le applicazioni containerizzate.
- Mostra insight sulla sicurezza
per le applicazioni create. Ad esempio:
- Il livello di build SLSA, che identifica il livello di maturità del processo di compilazione del software in base alla specifica SLSA.
- Vulnerabilità negli artefatti della build.
- Provenienza build, ovvero una raccolta di metadati verificabili relativi a una build. Include dettagli come la sintesi delle immagini create, le posizioni dell'origine di input, la toolchain di build, i passaggi della build e la durata della build.
Per istruzioni sulla visualizzazione degli insight sulla sicurezza per le applicazioni create, vedi Creare un'applicazione e visualizzare gli insight sulla sicurezza.
Cloud Deploy
Cloud Deploy automatizza la distribuzione delle tue applicazioni in una serie di ambienti di destinazione in una sequenza definita. Supporta la distribuzione continua direttamente in Google Kubernetes Engine, GKE Enterprise e Cloud Run, con approvazioni e rollback con un solo clic, sicurezza e controllo aziendali e metriche di distribuzione integrate. Inoltre, mostra insight sulla sicurezza per le applicazioni di cui è stato eseguito il deployment.
Componenti che contribuiscono a proteggere le applicazioni in produzione
GKE e Cloud Run aiutano a proteggere la security posture degli ambienti di runtime. Entrambi sono dotati di funzionalità di sicurezza per proteggere le applicazioni in fase di runtime.
GKE
GKE può valutare la strategia di sicurezza dei container e fornire indicazioni attive sulle impostazioni del cluster, sulla configurazione del carico di lavoro e sulle vulnerabilità. Include la dashboard della security posture, che analizza i cluster e i carichi di lavoro GKE per fornire suggerimenti utili e mirati per migliorare la security posture. Per istruzioni sulla visualizzazione degli insight sulla sicurezza nella dashboard della strategia di sicurezza di GKE, consulta Eseguire il deployment su GKE e visualizzare gli insight sulla sicurezza.
Cloud Run
Cloud Run contiene un riquadro di sicurezza che visualizza insight sulla sicurezza della catena di fornitura del software, come le informazioni sulla conformità a livello di build SLSA, la provenienza della build e le vulnerabilità trovate nei servizi in esecuzione. Per istruzioni sulla visualizzazione degli insight sulla sicurezza nel riquadro degli insight sulla sicurezza di Cloud Run, consulta Eseguire il deployment su Cloud Run e visualizzare gli insight sulla sicurezza.
Costruisci una catena di fiducia attraverso i criteri
Autorizzazione binaria consente di stabilire, gestire e verificare una catena di attendibilità lungo la catena di fornitura del software raccogliendo attestations, ovvero documenti digitali che certificano le immagini. Un'attestazione indica che l'immagine associata è stata creata eseguendo correttamente un processo specifico e richiesto. In base a queste attestazioni raccolte, Autorizzazione binaria consente di definire, verificare e applicare i criteri basati sull'attendibilità. Assicura che il deployment dell'immagine venga eseguito solo quando le attestazioni soddisfano i criteri dell'organizzazione e può anche essere impostato per avvisarti in caso di violazioni dei criteri. Ad esempio, le attestazioni possono indicare che un'immagine è:
- Creato da Cloud Build.
- Non contiene vulnerabilità di livello superiore a quello specificato. Se esistono vulnerabilità specifiche che non si applicano alle tue applicazioni, puoi aggiungerle a una lista consentita.
Puoi usare Autorizzazione binaria con GKE e Cloud Run.
Prezzi
Il seguente elenco rimanda alle informazioni sui prezzi dei servizi nella soluzione Software Delivery Shield:
- Cloud Workstations
- Cloud Code: disponibile per tutti i clienti Google Cloud senza costi aggiuntivi.
- Assured OSS: contatta il team di vendita per informazioni sui prezzi.
- Artifact Registry
- Analisi degli artefatti
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Autorizzazione binaria
Passaggi successivi
- Scopri come creare applicazioni e visualizzare approfondimenti sulla sicurezza.
- Scopri come eseguire il deployment in Cloud Run e visualizzare gli insight sulla sicurezza.
- Scopri come eseguire il deployment in GKE e visualizzare gli insight sulla sicurezza.