Google Cloud宣佈推出軟體供應鏈端到端保護產品Software Delivery Shield,旨在加強企業應對激增的軟體供應鏈攻擊。
Software Delivery Shield可以在整個開發生命週期加強軟體供應鏈安全,包括增強開發環境的應用安全、提升應用的投射和關聯項目安全、加強CI/CD安全、保護應用運行時安全、在安全開發生命週期(SDLC)內實施基於信任的安全性原則等。
回應軟體供應鏈安全的呼聲
多年以來,Google 一直與開發者社群、公共部門及各合作夥伴攜手,建立起多種行業的標準與框架,並憑藉軟體工件供應鏈級別(SLSA)等成果努力增強軟體供應鏈安全性。為了進一步提高軟體供應鏈安全性,Google 正式推出Software Delivery Shield。這是一套完全託管的軟體供應鏈安全解決方案,包含一組模組化功能,可以為開發者、DevOps及安全團隊提供建構安全的雲端應用必需的各類工具。
Software Delivery Shield涵蓋開發者工具、GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列Google Cloud服務,從開發者工具到運行選項無所不包。
Software Delivery Shield包含的功能橫跨五大領域,旨在解決軟體供應鏈中的種種安全問題。這五大領域分別為:應用程式開發、軟體供應環節、持續整合與持續交付(CI/CD)、生產環境、策略。
Software Delivery Shield允許使用者逐步落地其實施路徑,因此組織可以根據自身特定需求進行方案定制,根據現有環境和安全優先順序先選擇一部分關鍵工具。
快速安全開發
為了從開發階段就保護軟體,Google Cloud Next的預覽版中引入了一項新服務:Cloud Workstations,這是一套位於Google Cloud的完全託管開發環境。借助Cloud Workstations,開發者們可以隨時隨地通過瀏覽器存取到安全、快速且可定制的開發環境,並獲得一致的配置與客製化工具。同時,IT和安全管理員可以輕鬆配置、擴展、管理和保護這些運行在Google Cloud基礎設施上的開發環境。
作為Software Delivery Shield產品的關鍵元件,Cloud Workstations負責增強應用程式開發環境的安全狀態。借助VPC服務控制、無原始程式碼本機存放區、私有入口/出口、強制鏡像更新和IAM訪問策略等內置安全措施,Cloud Workstations有助於解決原始碼洩露、隱私風險、組態配置不一致等各類常見的本地開發安全痛點。
除了透過Cloud Workstations幫助保護開發環境之外,Google 為開發者提供工具,讓他們在自己的筆記型電腦上快速安全進行編碼。Cloud Code是Google 的IDE外掛程式系列,目前已經提供Source Protect外掛程式的預覽版。Source Protect能夠在IDE中為開發者即時提供安全回饋,識別易受攻擊的項目,報告憑證資訊等。這種快速、可操作的回饋能幫助開發者及時更正當前原始碼,盡可能削減成本高昂的事後修復需求。
可信任的開源軟體
提高軟體供應鏈安全性的另一個關鍵步驟,即是確保構建工具與應用程式依賴項的安全。隨著開源軟體的快速普及,這個問題正變得越來越棘手。
在與廣泛社群合作建立指導方針和框架,藉以提高整體開源安全性的同時,Google 還提供更多服務以説明直接克服這一挑戰。今年5月,Google 推出了可信任的開源軟體(Assured OSS)服務,目前尚處於預覽階段。
Assured OSS是Google 的首個「策劃」開源項目,相當於在大家熟知的免費和原始開源之上添加了一個問責層。作為Software Delivery Shield解決方案中的關鍵組成部分,Assured OSS提供已經由Google 完成挑選和審查的開源套裝軟體。這些套裝軟體被部署在安全管道之內,並定期接受漏洞掃描、分析和測試。
使用Assured OSS,安全團隊將可以肯定其開發人員使用的開源依賴項已經通過了審查。該服務目前涵蓋250個Java及Python精選包,且全部經過驗證。它會自動生成軟體物料清單(SBOM),即應用程式開發和交付中所涉及的一切元件和依賴項清單,用以識別存在潛在風險的各類元素。
借助Software Delivery Shield,DevOps團隊能夠在Artifact Registry中存儲、管理和保護各類構建工件,還能透過Container Analysis提供的多語言包集成掃描主動檢測漏洞。除了掃描基礎鏡像之外,Container Analysis(目前為預覽版)現在還能對Maven及Go容器,以及非容器化Maven包執行推送時掃描。
鎖定CI/CD管道
駭客可能會破壞CI/CD管道以攻擊軟體供應鏈。因此Google加強完全託管CI平臺Cloud Build和CD平臺Cloud Deploy。身為Software Delivery Shield解決方案中的關鍵元件,這兩大平臺都包含內置安全功能,包括細微性IAM控制、VPC服務控制、隔離與臨時環境、審查閘道等,這些可幫助DevOps團隊更好地管理構建與部署流程。
Cloud Build現在還正式支持SLSA L3 builds,即默認實施SLSA L3級最佳實踐。除了提供臨時和隔離的構建環境之外,Cloud Build現在還能為容器化應用程式和非容器化Maven/Python套裝軟體生成經過身份驗證、不可篡改的構建源,並顯示關於所構建應用程式的安全細節資訊。
協助保護生產中的應用程式
軟體供應鏈保護中的另一個關鍵環節,就是加強運行時環境的安全態勢。Google Kubernetes Engine (GKE) 和 Cloud Run是Google 打造的容器化應用程式運行時平臺,二者均包含內置的安全功能,可為運行中的應用程式給予協助保護。
GKE此次也迎來新的內置安全狀態管理功能(現為預覽階段),可用於識別並解決GKE集群和工作負載中的安全問題。基於行業標準和GKE團隊的安全專業知識,GKE現可提供詳盡的風險嚴重性等級評估與結果,並就集群和工作負載的安全狀況提供建議,包括對於作業系統漏洞和工作負載配置的洞察發現。
GKE儀錶板現可清晰指明哪些工作負載會受到安全問題影響,而進一步提供可操作的指導性解決方案。除儀錶板之外,GKE還能將安全問題記錄至Cloud Logging,這部分安全事件資訊隨後可通過Pub/Sub(公佈/訂閱)被記錄至log系統或安全資訊與事件管理(SIEM)系統等服務端。
對於Cloud Run無伺服器平台的客戶,Google正著手為Cloud Run安全面板引入新的增強功能。現在此面板能夠顯示軟體供應鏈的安全資訊,例如SLSA構建層面的合規性資訊、構建源以及正在運行的服務中發現的漏洞(現為預覽階段)。
透過策略建立信任鏈
除了在軟體交付生命週期的各個階段增強安全態勢之外,Software Delivery Shield還提供基於信任的策略引擎,為整個供應鏈建立、維護和驗證相應的信任鏈。
Binary Authorization是一款部署時安全控制項,可以保證GKE或Cloud Run上僅部署受信任的容器鏡像。借助Binary Authorization,DevOps或安全團隊可以在開發過程中要求受信權威機構對鏡像進行簽名,而後在部署時強制執行簽名驗證。通過這種強制驗證,各團隊即可確保構建與發佈流程中僅使用經過驗證的鏡像,從而更嚴格地控制容器環境。
軟體供應鏈的安全保護是一項複雜挑戰。Software Delivery Shield提供的端到端解決方案有助於保護軟體完整性,使其免受軟體供應鏈中各種形式攻擊的影響。借助Google Cloud服務承載的豐富工具集合,使用者可以立即體驗並根據現有環境/安全優先順序逐步採用最合適的安全措施(無論大小),穩健提升軟體供應鏈的整體安全水準。
本文轉載自Secrss.com。