前情回顧·谷歌安全王國之路

安全內參10月12日消息,谷歌云宣布推出軟件供應鏈端到端保護產品Software Delivery Shield,旨在加強企業(yè)應對激增的軟件供應鏈攻擊的能力。

Software Delivery Shield可以在整個開發(fā)生命周期加強軟件供應鏈安全,包括增強開發(fā)環(huán)境的應用安全、提升應用的映像和依賴項安全加強CI/CD管道安全、保護應用運行時安全、在安全開發(fā)生命周期(SDLC)內實施基于信任的安全策略等。

回應軟件供應鏈安全的呼聲

多年以來,谷歌一直與開發(fā)者社區(qū)、公共部門及各合作伙伴攜手,建立起多種行業(yè)范圍內的標準與框架,并憑借軟件工件供應鏈級別(SLSA)等成果努力增強軟件供應鏈安全性。去年,作為谷歌公司百億美元推進網絡安全倡議的一部分,該公司承諾為各類被全球公共基礎設施及企業(yè)廣泛應用的關鍵開源組件提供保護。

為了進一步幫助用戶提高軟件供應鏈安全性,谷歌正式推出了Software Delivery Shield。這是一套完全托管的軟件供應鏈安全解決方案,包含一組模塊化功能,可以為開發(fā)者、DevOps及安全團隊配備構建安全云應用所必需的各類工具。

Software Delivery Shield涵蓋開發(fā)者工具、GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列谷歌云服務,從開發(fā)者工具到運行時選項無所不包。

Software Delivery Shield包含的功能橫跨五大領域,旨在解決軟件供應鏈中的種種安全問題。這五大領域分別為:應用程序開發(fā)、軟件供應環(huán)節(jié)、持續(xù)集成與持續(xù)交付(CI/CD)、生產環(huán)境、策略。

Software Delivery Shield還允許用戶逐步落地其實施路徑,因此組織可以根據自身特定需求進行方案定制,根據現有環(huán)境和安全優(yōu)先級先選擇一部分關鍵工具。

快速安全搞開發(fā)

為了從開發(fā)起步階段就協(xié)助保護軟件,Google Cloud Next的預覽版中引入了一項新服務:Cloud Workstations,這是一套立足谷歌云的完全托管開發(fā)環(huán)境。借助Cloud Workstations,開發(fā)者們可以隨時隨地通過瀏覽器訪問到安全、快速且可定制的開發(fā)環(huán)境,并獲得一致的配置與定制化工具。同時,IT和安全管理員可以輕松配置、擴展、管理和保護這些運行在谷歌云基礎設施上的開發(fā)環(huán)境。

作為Software Delivery Shield產品的關鍵組件,Cloud Workstations負責增強應用程序開發(fā)環(huán)境的安全態(tài)勢,因而在“安全左移”上發(fā)揮著關鍵作用。借助VPC服務控制、無源代碼本地存儲、私有入口/出口、強制鏡像更新和IAM訪問策略等內置安全措施,Cloud Workstations有助于解決代碼泄露、隱私風險、配置不一致等各類常見的本地開發(fā)安全痛點。

除了通過Cloud Workstations幫助保護開發(fā)環(huán)境之外,谷歌還為開發(fā)者提供工具,讓他們在自己的筆記本電腦上快速安全進行編碼。Cloud Code是谷歌的IDE插件系列,目前已經提供Source Protect插件的預覽版。Source Protect能夠在IDE中為開發(fā)者實時提供安全反饋,識別易受攻擊的依賴項,報告許可證信息等。這種快速、可操作的反饋能幫助開發(fā)者及時更正當前代碼,盡可能削減成本高昂的事后修復需求。

保衛(wèi)軟件“供應”

提高軟件供應鏈安全性的另一個關鍵步驟,當數保衛(wèi)軟件供應——也就是構建工具與應用程序依賴項。隨著開源軟件的快速普及,這個問題正變得越來越棘手。

在與廣泛社區(qū)合作建立指導方針和框架,借以提高整體開源安全性的同時,谷歌還提供更多服務以幫助直接克服這一挑戰(zhàn)。今年5月,谷歌推出了可信開源軟件(Assured OSS)服務,目前尚處于預覽階段。

Assured OSS是谷歌的首個“策劃”開源項目,相當于在大家熟知的免費和“原樣”開源之上添加了一個問責層。作為Software Delivery Shield解決方案中的關鍵組成部分,Assured OSS提供已經由谷歌完成挑選和審查的開源軟件包。這些軟件包被部署在安全管道之內,并定期接受漏洞掃描、分析和模糊測試。

使用Assured OSS,安全團隊將可以肯定其開發(fā)人員使用的開源依賴項已經通過了審查。該服務目前涵蓋250個Java及Python精選包,且全部經過驗證。它會自動生成軟件物料清單(SBOM),即應用程序開發(fā)和交付中所涉及的一切組件和依賴項清單,用以識別存在潛在風險的各類元素。

借助Software Delivery Shield,DevOps團隊能夠在Artifact Registry中存儲、管理和保護各類構建工件,還能通過Container Analysis提供的多語言包集成掃描主動檢測漏洞。除了掃描基礎鏡像之外,Container Analysis(目前為預覽版)現在還能對Maven及Go容器,以及非容器化Maven包執(zhí)行推送時掃描。

鎖定CI/CD管道

惡意黑客可能會破壞CI/CD管道以攻擊軟件供應鏈。因此,谷歌才一直努力加強完全托管CI平臺Cloud Build和CD平臺Cloud Deploy。作為Software Delivery Shield解決方案中的關鍵組件,這兩大平臺都包含內置安全功能,包括粒度IAM控制、VPC服務控制、隔離與臨時環(huán)境、審批閘道等,可幫助DevOps團隊更好地管理構建與部署流程。

Cloud Build現在還正式支持SLSA L3 builds,即默認實施SLSA L3級最佳實踐。除了提供臨時和隔離的構建環(huán)境之外,Cloud Build現在還能為容器化應用程序和非容器化Maven/Python軟件包生成經過身份驗證、不可篡改的構建源,并顯示關于所構建應用程序的安全細節(jié)信息。

協(xié)助保護生產中的應用程序

軟件供應鏈保護中的另一個關鍵環(huán)節(jié),就是加強運行時環(huán)境的安全態(tài)勢。Google Kubernetes Engine (GKE) 和 Cloud Run是谷歌打造的領先容器化應用程序運行時平臺,二者均包含內置的安全功能,可為運行中的應用程序給予協(xié)助保護。

我們很高興地宣布,GKE此次也迎來新的內置安全狀態(tài)管理功能(現為預覽階段),可用于識別并解決GKE集群和工作負載中的安全問題?;谛袠I(yè)標準和GKE團隊的安全專業(yè)知識,GKE現可提供詳盡的風險嚴重性等級評估與結果,并就集群和工作負載的安全狀況提供建議,包括對于操作系統(tǒng)漏洞和工作負載配置的洞察發(fā)現。

GKE儀表板現可清晰指明哪些工作負載會受到安全問題影響,而后提供可操作的指導性解決方案。除儀表板之外,GKE還能將安全問題記錄至Cloud Logging,這部分安全事件信息隨后可通過Pub/Sub(公布/訂閱)被路由至工單系統(tǒng)或安全信息與事件管理(SIEM)系統(tǒng)等服務端。

對于Cloud Run無服務器平臺的客戶,谷歌正著手為Cloud Run安全面板引入新的增強功能?,F在此面板能夠顯示軟件供應鏈的安全見解,例如SLSA構建層面的合規(guī)性信息、構建源以及正在運行的服務中發(fā)現的漏洞(現為預覽階段)。

Software Delivery Shield的各項服務間協(xié)同工作,為用戶軟件供應鏈帶來從開發(fā)到生產的全流程保護。

通過策略建立信任鏈

除了在軟件交付生命周期的各個階段增強安全態(tài)勢之外,Software Delivery Shield還提供基于信任的策略引擎,幫助用戶為整個供應鏈建立、維護和驗證相應的信任鏈。

Binary Authorization是一款部署時安全控件,可以保證GKE或Cloud Run上僅部署受信任的容器鏡像。借助Binary Authorization,DevOps或安全團隊可以在開發(fā)過程中要求受信權威機構對鏡像進行簽名,而后在部署時強制執(zhí)行簽名驗證。通過這種強制驗證,各團隊即可確保構建與發(fā)布流程中僅使用經過驗證的鏡像,從而更嚴格地控制容器環(huán)境。

軟件供應鏈的安全保護是一項復雜挑戰(zhàn)。Software Delivery Shield提供的端到端解決方案有助于保護軟件完整性,使其免受軟件供應鏈中各種形式攻擊的影響。借助谷歌云服務承載的豐富工具集合,組織可以立即體驗并根據現有環(huán)境/安全優(yōu)先級逐步采用最合適的安全措施(無論大?。?,穩(wěn)健提升軟件供應鏈的整體安全水平。

參考資料:cloud.google.com