前情回顧·谷歌安全王國之路

安全內(nèi)參10月12日消息,谷歌云宣布推出軟件供應(yīng)鏈端到端保護(hù)產(chǎn)品Software Delivery Shield,旨在加強(qiáng)企業(yè)應(yīng)對激增的軟件供應(yīng)鏈攻擊的能力。

Software Delivery Shield可以在整個開發(fā)生命周期加強(qiáng)軟件供應(yīng)鏈安全,包括增強(qiáng)開發(fā)環(huán)境的應(yīng)用安全、提升應(yīng)用的映像和依賴項(xiàng)安全、加強(qiáng)CI/CD管道安全、保護(hù)應(yīng)用運(yùn)行時安全、在安全開發(fā)生命周期(SDLC)內(nèi)實(shí)施基于信任的安全策略等。

回應(yīng)軟件供應(yīng)鏈安全的呼聲

多年以來,谷歌一直與開發(fā)者社區(qū)、公共部門及各合作伙伴攜手,建立起多種行業(yè)范圍內(nèi)的標(biāo)準(zhǔn)與框架,并憑借軟件工件供應(yīng)鏈級別(SLSA)等成果努力增強(qiáng)軟件供應(yīng)鏈安全性。去年,作為谷歌公司百億美元推進(jìn)網(wǎng)絡(luò)安全倡議的一部分,該公司承諾為各類被全球公共基礎(chǔ)設(shè)施及企業(yè)廣泛應(yīng)用的關(guān)鍵開源組件提供保護(hù)。

為了進(jìn)一步幫助用戶提高軟件供應(yīng)鏈安全性,谷歌正式推出了Software Delivery Shield。這是一套完全托管的軟件供應(yīng)鏈安全解決方案,包含一組模塊化功能,可以為開發(fā)者、DevOps及安全團(tuán)隊(duì)配備構(gòu)建安全云應(yīng)用所必需的各類工具。

Software Delivery Shield涵蓋開發(fā)者工具、GKE、Cloud Code、Cloud Build、Cloud Deploy、Artifact Registry、Binary Authorization等一系列谷歌云服務(wù),從開發(fā)者工具到運(yùn)行時選項(xiàng)無所不包。

Software Delivery Shield包含的功能橫跨五大領(lǐng)域,旨在解決軟件供應(yīng)鏈中的種種安全問題。這五大領(lǐng)域分別為:應(yīng)用程序開發(fā)、軟件供應(yīng)環(huán)節(jié)、持續(xù)集成與持續(xù)交付(CI/CD)、生產(chǎn)環(huán)境、策略。

Software Delivery Shield還允許用戶逐步落地其實(shí)施路徑,因此組織可以根據(jù)自身特定需求進(jìn)行方案定制,根據(jù)現(xiàn)有環(huán)境和安全優(yōu)先級先選擇一部分關(guān)鍵工具。

快速安全搞開發(fā)

為了從開發(fā)起步階段就協(xié)助保護(hù)軟件,Google Cloud Next的預(yù)覽版中引入了一項(xiàng)新服務(wù):Cloud Workstations,這是一套立足谷歌云的完全托管開發(fā)環(huán)境。借助Cloud Workstations,開發(fā)者們可以隨時隨地通過瀏覽器訪問到安全、快速且可定制的開發(fā)環(huán)境,并獲得一致的配置與定制化工具。同時,IT和安全管理員可以輕松配置、擴(kuò)展、管理和保護(hù)這些運(yùn)行在谷歌云基礎(chǔ)設(shè)施上的開發(fā)環(huán)境。

作為Software Delivery Shield產(chǎn)品的關(guān)鍵組件,Cloud Workstations負(fù)責(zé)增強(qiáng)應(yīng)用程序開發(fā)環(huán)境的安全態(tài)勢,因而在“安全左移”上發(fā)揮著關(guān)鍵作用。借助VPC服務(wù)控制、無源代碼本地存儲、私有入口/出口、強(qiáng)制鏡像更新和IAM訪問策略等內(nèi)置安全措施,Cloud Workstations有助于解決代碼泄露、隱私風(fēng)險、配置不一致等各類常見的本地開發(fā)安全痛點(diǎn)。

除了通過Cloud Workstations幫助保護(hù)開發(fā)環(huán)境之外,谷歌還為開發(fā)者提供工具,讓他們在自己的筆記本電腦上快速安全進(jìn)行編碼。Cloud Code是谷歌的IDE插件系列,目前已經(jīng)提供Source Protect插件的預(yù)覽版。Source Protect能夠在IDE中為開發(fā)者實(shí)時提供安全反饋,識別易受攻擊的依賴項(xiàng),報告許可證信息等。這種快速、可操作的反饋能幫助開發(fā)者及時更正當(dāng)前代碼,盡可能削減成本高昂的事后修復(fù)需求。

保衛(wèi)軟件“供應(yīng)”

提高軟件供應(yīng)鏈安全性的另一個關(guān)鍵步驟,當(dāng)數(shù)保衛(wèi)軟件供應(yīng)——也就是構(gòu)建工具與應(yīng)用程序依賴項(xiàng)。隨著開源軟件的快速普及,這個問題正變得越來越棘手。

在與廣泛社區(qū)合作建立指導(dǎo)方針和框架,借以提高整體開源安全性的同時,谷歌還提供更多服務(wù)以幫助直接克服這一挑戰(zhàn)。今年5月,谷歌推出了可信開源軟件(Assured OSS)服務(wù),目前尚處于預(yù)覽階段。

Assured OSS是谷歌的首個“策劃”開源項(xiàng)目,相當(dāng)于在大家熟知的免費(fèi)和“原樣”開源之上添加了一個問責(zé)層。作為Software Delivery Shield解決方案中的關(guān)鍵組成部分,Assured OSS提供已經(jīng)由谷歌完成挑選和審查的開源軟件包。這些軟件包被部署在安全管道之內(nèi),并定期接受漏洞掃描、分析和模糊測試。

使用Assured OSS,安全團(tuán)隊(duì)將可以肯定其開發(fā)人員使用的開源依賴項(xiàng)已經(jīng)通過了審查。該服務(wù)目前涵蓋250個Java及Python精選包,且全部經(jīng)過驗(yàn)證。它會自動生成軟件物料清單(SBOM),即應(yīng)用程序開發(fā)和交付中所涉及的一切組件和依賴項(xiàng)清單,用以識別存在潛在風(fēng)險的各類元素。

借助Software Delivery Shield,DevOps團(tuán)隊(duì)能夠在Artifact Registry中存儲、管理和保護(hù)各類構(gòu)建工件,還能通過Container Analysis提供的多語言包集成掃描主動檢測漏洞。除了掃描基礎(chǔ)鏡像之外,Container Analysis(目前為預(yù)覽版)現(xiàn)在還能對Maven及Go容器,以及非容器化Maven包執(zhí)行推送時掃描。

鎖定CI/CD管道

惡意黑客可能會破壞CI/CD管道以攻擊軟件供應(yīng)鏈。因此,谷歌才一直努力加強(qiáng)完全托管CI平臺Cloud Build和CD平臺Cloud Deploy。作為Software Delivery Shield解決方案中的關(guān)鍵組件,這兩大平臺都包含內(nèi)置安全功能,包括粒度IAM控制、VPC服務(wù)控制、隔離與臨時環(huán)境、審批閘道等,可幫助DevOps團(tuán)隊(duì)更好地管理構(gòu)建與部署流程。

Cloud Build現(xiàn)在還正式支持SLSA L3 builds,即默認(rèn)實(shí)施SLSA L3級最佳實(shí)踐。除了提供臨時和隔離的構(gòu)建環(huán)境之外,Cloud Build現(xiàn)在還能為容器化應(yīng)用程序和非容器化Maven/Python軟件包生成經(jīng)過身份驗(yàn)證、不可篡改的構(gòu)建源,并顯示關(guān)于所構(gòu)建應(yīng)用程序的安全細(xì)節(jié)信息。

協(xié)助保護(hù)生產(chǎn)中的應(yīng)用程序

軟件供應(yīng)鏈保護(hù)中的另一個關(guān)鍵環(huán)節(jié),就是加強(qiáng)運(yùn)行時環(huán)境的安全態(tài)勢。Google Kubernetes Engine (GKE) 和 Cloud Run是谷歌打造的領(lǐng)先容器化應(yīng)用程序運(yùn)行時平臺,二者均包含內(nèi)置的安全功能,可為運(yùn)行中的應(yīng)用程序給予協(xié)助保護(hù)。

我們很高興地宣布,GKE此次也迎來新的內(nèi)置安全狀態(tài)管理功能(現(xiàn)為預(yù)覽階段),可用于識別并解決GKE集群和工作負(fù)載中的安全問題。基于行業(yè)標(biāo)準(zhǔn)和GKE團(tuán)隊(duì)的安全專業(yè)知識,GKE現(xiàn)可提供詳盡的風(fēng)險嚴(yán)重性等級評估與結(jié)果,并就集群和工作負(fù)載的安全狀況提供建議,包括對于操作系統(tǒng)漏洞和工作負(fù)載配置的洞察發(fā)現(xiàn)

GKE儀表板現(xiàn)可清晰指明哪些工作負(fù)載會受到安全問題影響,而后提供可操作的指導(dǎo)性解決方案。除儀表板之外,GKE還能將安全問題記錄至Cloud Logging,這部分安全事件信息隨后可通過Pub/Sub(公布/訂閱)被路由至工單系統(tǒng)或安全信息與事件管理(SIEM)系統(tǒng)等服務(wù)端。

對于Cloud Run無服務(wù)器平臺的客戶,谷歌正著手為Cloud Run安全面板引入新的增強(qiáng)功能。現(xiàn)在此面板能夠顯示軟件供應(yīng)鏈的安全見解,例如SLSA構(gòu)建層面的合規(guī)性信息、構(gòu)建源以及正在運(yùn)行的服務(wù)中發(fā)現(xiàn)的漏洞(現(xiàn)為預(yù)覽階段)。

Software Delivery Shield的各項(xiàng)服務(wù)間協(xié)同工作,為用戶軟件供應(yīng)鏈帶來從開發(fā)到生產(chǎn)的全流程保護(hù)。

通過策略建立信任鏈

除了在軟件交付生命周期的各個階段增強(qiáng)安全態(tài)勢之外,Software Delivery Shield還提供基于信任的策略引擎,幫助用戶為整個供應(yīng)鏈建立、維護(hù)和驗(yàn)證相應(yīng)的信任鏈

Binary Authorization是一款部署時安全控件,可以保證GKE或Cloud Run上僅部署受信任的容器鏡像。借助Binary Authorization,DevOps或安全團(tuán)隊(duì)可以在開發(fā)過程中要求受信權(quán)威機(jī)構(gòu)對鏡像進(jìn)行簽名,而后在部署時強(qiáng)制執(zhí)行簽名驗(yàn)證。通過這種強(qiáng)制驗(yàn)證,各團(tuán)隊(duì)即可確保構(gòu)建與發(fā)布流程中僅使用經(jīng)過驗(yàn)證的鏡像,從而更嚴(yán)格地控制容器環(huán)境。

軟件供應(yīng)鏈的安全保護(hù)是一項(xiàng)復(fù)雜挑戰(zhàn)。Software Delivery Shield提供的端到端解決方案有助于保護(hù)軟件完整性,使其免受軟件供應(yīng)鏈中各種形式攻擊的影響。借助谷歌云服務(wù)承載的豐富工具集合,組織可以立即體驗(yàn)并根據(jù)現(xiàn)有環(huán)境/安全優(yōu)先級逐步采用最合適的安全措施(無論大?。?,穩(wěn)健提升軟件供應(yīng)鏈的整體安全水平。

參考資料:cloud.google.com