Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

아티팩트 보호 개요

Security Command Center의 아티팩트 보호는 개발 수명 주기 전반에서 취약점을 식별하도록 지원하여 애플리케이션 개발 프로세스에 보안 레이어를 추가합니다.

아티팩트 가드는 다음과 같은 기능과 이점을 제공합니다.

세분화된 정책 제어: 유연한 예외 옵션을 사용하여 취약점 유형에 따라 정확한 규칙을 정의합니다.
빌드 시간 정책 시행: 보안 검사를 Artifact Registry 및 지속적 통합/지속적 배포 (CI/CD) 파이프라인에 직접 통합하여 배포 전에 안전하지 않은 이미지를 중지합니다.
고급 런타임 시행: 실시간 스캔과 보안 상황의 전체 개요를 활용합니다.
통합 '코드-클라우드' 보안 그래프: 빌드 시간, 아티팩트 분석, 런타임 검사에서 가져온 데이터를 상호 연관시켜 보안 결과에 대한 전체적인 뷰를 확보합니다.

개요

CI/CD 파이프라인과 배포 환경에는 규정을 준수하지 않는 이미지를 차단하거나 감사하기 위한 자동화된 시행이 없는 경우가 많습니다. 애플리케이션을 보호하려면 빌드 단계와 배포 단계 모두에서 정책을 일관되게 적용해야 합니다.

강력한 정책 프레임워크는 다음을 지원합니다.

공급망 공격: 사전 대응 정책을 통해 위협을 조기에 완화하여 손상된 이미지가 애플리케이션에 영향을 미치지 않도록 방지할 수 있습니다.
규정 준수 및 거버넌스: 인증 정보 유출 방지, 취약한 라이브러리 차단, 보안 컨테이너 구성 유지와 같은 권장사항을 적용하여 규제 요구사항을 충족합니다.
개발자 마찰 감소: 보안을 개발 수명 주기에 원활하게 통합하여 혁신을 저해하지 않고 보호를 강화합니다.
런타임 위험: 지속적인 런타임 스캔을 통해 배포 후에도 새로운 취약점을 포착하여 지속적인 보호를 제공합니다.

아티팩트 보호는 수명 주기 전반에 걸쳐 아티팩트의 취약점 및 기타 발견 사항을 관리하는 통합 보안 프레임워크를 제공합니다. 이 프레임워크를 사용하면 다양한 단계에서 세부적인 허용 제어가 가능하여 확인된 아티팩트만 승격됩니다.

아티팩트 보호는 Artifact Registry 및 Google Kubernetes Engine (GKE)과 같은 주요 서비스와 기본적으로 통합됩니다. 정책은 Google 보안 기준 정책에 포함되고 App Hub와 통합될 수도 있으므로 팀이 애플리케이션 설계 센터에서 직접 보안 표준을 적용할 수 있습니다. 이 역량을 통해 아티팩트 보호는 Google Cloud 조직 정책 서비스 프레임워크 내에서 강력한 제약 조건으로 작동하여 대규모로 일관된 보안 거버넌스를 보장할 수 있습니다.

대상

아티팩트 보호는 다음 이해관계자 태스크를 지원할 수 있습니다.

보안 관리자: 보안 정책을 정의하고 적용합니다.
DevOps 또는 플랫폼 엔지니어링팀: 기존 빌드 및 배포 파이프라인에 아티팩트 보호를 통합합니다.
애플리케이션 개발자: 아티팩트 보호의 인사이트를 사용하여 코드 내 보안 취약점을 수정합니다.

주요 용어 및 개념

Common Vulnerabilities and Exposures (CVE): 고유 식별자가 할당된 공개적으로 공개된 컴퓨터 보안 취약점입니다. 이러한 식별자는 해결을 위해 취약점을 추적하는 데 도움이 됩니다.
소프트웨어 자재명세서 (SBOM): 소프트웨어 구성요소 및 종속 항목의 기계 판독 가능 인벤토리입니다. SBOM에는 각 구성요소의 버전, 출처, 기타 관련 세부정보에 관한 정보가 포함됩니다. SBOM은 CVE 및 기타 보안 위험을 식별하는 데 사용할 수 있습니다.
아티팩트: 소프트웨어 개발의 버전이 지정되고 검증된 출력입니다(예: 빌드 프로세스 중에 생성된 데이터 또는 항목).

대략적인 워크플로

아티팩트 보호는 세 가지 유형의 정책 범위를 지원합니다.
- CI/CD 플랫폼: Cloud Build, GitHub Actions 또는 Jenkins 파이프라인
- 레지스트리: GKE 클러스터
- 런타임: GKE 클러스터
CI/CD 플랫폼 범위를 사용하려는 경우 CI/CD 통합을 사용하여 CI/CD 환경에 커넥터를 만들 수 있습니다.
아티팩트 보호 정책을 구성합니다. 정책에는 지원되는 범위가 포함될 수 있습니다.
평가는 정책에 따라 실행됩니다. 평가 중에 이미지가 빌드되고 정책에 따라 평가됩니다. 정책이 실패하면 빌드가 실패합니다. 그러면 DevOps 또는 애플리케이션 엔지니어가 실패 세부정보를 검사하고 필요한 수정사항을 배포할 수 있습니다.

다음 단계

아티팩트 보호 정책을 구성하는 방법을 알아보세요.