Software Delivery Shield es una solución de seguridad de la cadena de suministro de software de extremo a extremo completamente administrada. Proporciona un conjunto completo y modular de capacidades y herramientas en los productos de Google Cloud que los desarrolladores, DevOps y los equipos de seguridad pueden usar para mejorar la postura de seguridad de la cadena de suministro de software.
Software Delivery Shield consiste en lo siguiente:
- Productos y funciones de Google Cloud que incorporan prácticas recomendadas de seguridad para el desarrollo, la compilación, la prueba, el análisis, la implementación y la aplicación de políticas.
- Paneles en la consola de Google Cloud que muestran información de seguridad sobre la fuente, las compilaciones, los artefactos, las implementaciones y el entorno de ejecución. Esta información incluye vulnerabilidades en los artefactos de compilación, la procedencia de la compilación y la lista de dependencias de la lista de materiales de software (SBOM).
- Información que identifica el nivel de madurez de la seguridad de la cadena de suministro de software mediante el framework de Niveles de cadena de suministro para artefactos de software (SLSA).
Componentes de Software Delivery Shield
En el siguiente diagrama, se ilustra cómo funcionan juntos los diferentes servicios de Software Delivery Shield para proteger la cadena de suministro de software:
En las siguientes secciones, se explican los productos y las funciones que forman parte de la solución Software Delivery Shield:
Componentes que ayudan a proteger el desarrollo
Los siguientes componentes de Software Delivery Shield ayudan a proteger el código fuente del software:
Cloud Workstations
Cloud Workstations proporciona entornos de desarrollo completamente administrados en Google Cloud. Permite a los administradores de TI y seguridad aprovisionar, escalar, administrar y proteger sus entornos de desarrollo y permite a los desarrolladores acceder a entornos de desarrollo con parámetros de configuración coherentes y herramientas personalizables.
Cloud Workstations ayuda a desplazar la seguridad a la izquierda, ya que mejora la postura de seguridad de los entornos de desarrollo de aplicaciones. Tiene funciones de seguridad, como los Controles del servicio de VPC, la entrada o salida privadas, la actualización de imagen forzada y las políticas de acceso de Identity and Access Management. Para obtener más información, consulta la documentación de Cloud Workstations.
Cloud Code Source Protect (versión preliminar)
Cloud Code proporciona asistencia para IDE para crear, implementar y también integrar aplicaciones en Google Cloud. Permite a los desarrolladores crear y personalizar una aplicación nueva a partir de plantillas de muestra y ejecutar la aplicación finalizada. Source protect de Cloud Code les brinda a los desarrolladores comentarios sobre la seguridad en tiempo real, como la identificación de dependencias vulnerables y la generación de informes sobre licencias, a medida que trabajan en sus IDE. Proporciona comentarios rápidos y prácticos que permiten a los desarrolladores realizar correcciones en su código al comienzo del proceso de desarrollo de software.
Disponibilidad de las funciones: source protect de Cloud Code no está disponible para el acceso público. Para obtener acceso a esta función, consulta la página de solicitud de acceso.
Componentes que ayudan a proteger el suministro de software
Proteger el suministro de software (crea artefactos y dependencias de aplicaciones) es un paso fundamental para mejorar la seguridad de la cadena de suministro de software. El uso generalizado del software de código abierto hace que este problema sea particularmente desafiante.
Los siguientes componentes de Software Delivery Shield ayudan a proteger los artefactos de compilación y las dependencias de las aplicaciones:
Assured OSS
El servicio de Assured OSS te permite acceder y, luego, incorporar los paquetes de OSS que Google verificó y probó. Proporciona paquetes de Java y Python compilados con canalizaciones seguras de Google. Estos paquetes se analizan, analizan y prueban con regularidad para detectar vulnerabilidades. Para obtener más información, consulta la documentación del software de código abierto garantizado.
Artifact Registry y Artifact Analysis
Artifact Registry te permite almacenar, proteger y administrar tus artefactos de compilación, y Artifact Analysis detecta de forma proactiva vulnerabilidades para los artefactos en Artifact Registry. Artifact Registry proporciona las siguientes funciones para mejorar la postura de seguridad de la cadena de suministro de software:
- Artifact Analysis proporciona análisis a pedido o automatizado integrado para imágenes base de contenedores y paquetes de lenguajes en contenedores.
- Artifact Analysis te permite generar una lista de materiales de software (SBOM) y subir declaraciones de Vulnerability Exploitability eXchange (VEX) para las imágenes en Artifact Registry.
- Artifact Analysis proporciona análisis independientes que identifican vulnerabilidades existentes y nuevas dentro de las dependencias de código abierto que usan tus artefactos de Maven (vista previa). El análisis se realiza cada vez que envías un proyecto de Java a Artifact Registry. Después del análisis inicial, Artifact Analysis supervisa de forma continua los metadatos de las imágenes analizadas en Artifact Registry para detectar vulnerabilidades nuevas.
- Artifact Registry es compatible con repositorios remotos y virtuales. Los repositorios remotos almacenan artefactos de fuentes externas preestablecidas, como Docker Hub, Maven Central, el índice de paquetes de Python (PyPI), Debian o CentOS, así como fuentes definidas por el usuario para formatos compatibles. El almacenamiento en caché de artefactos en repositorios remotos reduce el tiempo de descarga, mejora la disponibilidad de los paquetes y, además, incluye el análisis de vulnerabilidades si el análisis está habilitado. Los repositorios virtuales consolidan repositorios del mismo formato detrás de un único extremo y te permiten controlar el orden de búsqueda en todos los repositorios ascendentes. Puedes priorizar tus paquetes privados, lo que reduce el riesgo de ataques de confusión de dependencias.
Componentes que ayudan a proteger la canalización de CI/CD
Las entidades que actúan de mala fe pueden atacar las cadenas de suministro de software y comprometer las canalizaciones de CI/CD. Los siguientes componentes de Software Delivery Shield ayudan a proteger la canalización de CI/CD:
Cloud Build
Cloud Build ejecuta tus compilaciones en la infraestructura de Google Cloud. Ofrece funciones de seguridad, como permisos de IAM detallados, Controles del servicio de VPC y entornos de compilación aislados y efímeros. Además, proporciona las siguientes funciones para mejorar la postura de seguridad de tu cadena de suministro de software:
- Admite compilaciones de SLSA de nivel 3 para imágenes de contenedor.
- Genera una origen de compilación autenticada y no falsificable para aplicaciones alojadas en contenedores.
- Muestra estadísticas de seguridad para aplicaciones compiladas. Incluye lo siguiente:
- Nivel de compilación de SLSA, que identifica el nivel de madurez de tu proceso de compilación de software de acuerdo con la especificación de SLSA.
- Vulnerabilidades en artefactos de compilación.
- Procedencia de la compilación, que es una colección de metadatos verificables sobre una compilación. Incluye detalles como los resúmenes de las imágenes compiladas, las ubicaciones de las fuentes de entrada, la cadena de herramientas de compilación, los pasos de compilación y la duración de la compilación.
Si quieres obtener instrucciones para ver las estadísticas de seguridad de las aplicaciones compiladas, consulta Compila una aplicación y visualiza las estadísticas de seguridad.
Cloud Deploy
Cloud Deploy automatiza la entrega de tus aplicaciones a una serie de entornos de destino en una secuencia definida. Admite la entrega continua directamente a Google Kubernetes Engine, GKE Enterprise y Cloud Run, con aprobaciones y reversiones con un solo clic, seguridad y auditoría empresariales, y métricas de entrega integradas. Además, muestra estadísticas de seguridad para las aplicaciones implementadas.
Componentes que ayudan a proteger las aplicaciones en producción
GKE y Cloud Run ayudan a proteger la postura de seguridad de tus entornos de ejecución. Ambos incluyen funciones de seguridad para proteger tus aplicaciones durante el tiempo de ejecución.
GKE
GKE puede evaluar la postura de seguridad de los contenedores y proporcionar orientación activa sobre la configuración del clúster y de la carga de trabajo, y las vulnerabilidades. Incluye el panel de postura de seguridad, que analiza tus clústeres y cargas de trabajo de GKE para brindarte recomendaciones bien definidas y prácticas con el objetivo de mejorar tu postura de seguridad. Si quieres obtener instrucciones para ver las estadísticas de seguridad en el panel de postura de seguridad de GKE, consulta Implementa en GKE y visualiza las estadísticas de seguridad.
Cloud Run
Cloud Run contiene un panel de seguridad en el que se muestran estadísticas de seguridad de la cadena de suministro de software, como la información de cumplimiento a nivel de compilación de SLSA, la procedencia de la compilación y las vulnerabilidades que se encuentran en los servicios en ejecución. Si deseas obtener instrucciones para ver las estadísticas de seguridad en el panel de estadísticas de seguridad de Cloud Run, consulta Implementa en Cloud Run y visualiza las estadísticas de seguridad.
Desarrollar una cadena de confianza mediante la política
La autorización binaria ayuda a establecer, mantener y verificar una cadena de confianza a lo largo de la cadena de suministro de software mediante la recopilación de attestations, que son documentos digitales que certifican imágenes. Una certificación significa que la imagen asociada se compiló mediante la ejecución correcta de un proceso específico y necesario. En función de estas certificaciones recopiladas, la autorización binaria ayuda a definir, verificar y aplicar políticas basadas en la confianza. Garantiza que la imagen se implemente solo cuando las certificaciones cumplan con la política de la organización y también se puede configurar para que te avise si se encuentra algún incumplimiento de política. Por ejemplo, las certificaciones pueden indicar que una imagen tiene las siguientes características:
- Compilada por Cloud Build.
- No contiene vulnerabilidades de mayor gravedad que una especificada. Si hay vulnerabilidades específicas que no se aplican a tus aplicaciones, puedes agregarlas a una lista de entidades permitidas.
Puedes usar Autorización Binaria con GKE y Cloud Run.
Precios
En la siguiente lista, se incluye la información de precios de los servicios de la solución Software Delivery Shield:
- Cloud Workstations
- Cloud Code: Disponible para todos los clientes de Google Cloud sin cargo.
- Assured OSS: Comunícate con el equipo de Ventas para obtener información sobre los precios.
- Artifact Registry
- Artifact Analysis
- Cloud Build
- Cloud Deploy
- Cloud Run
- GKE
- Autorización binaria
¿Qué sigue?
- Obtén más información para compilar aplicaciones y ver estadísticas de seguridad.
- Aprende a implementar en Cloud Run y ver estadísticas de seguridad.
- Aprende a implementar en GKE y ver las estadísticas de seguridad.