הגדרת כללי מדיניות של Artifact Guard

במאמר הזה נסביר איך ליצור ולנהל מדיניות של הגנה על ארטיפקטים. סקירה כללית של השירות, התכונות והיתרונות שלו מופיעה במאמר סקירה כללית על הגנה על ארטיפקטים.

לפני שמתחילים

כדי ליצור מדיניות של הגנה על ארטיפקטים, צריך להפעיל את התכונה הזו ב-Security Command Center ולקבל את התפקידים וההרשאות הנדרשים ב-IAM.

אחרי כן, תוכלו ליצור מדיניות במסוףGoogle Cloud או באמצעות Google Cloud CLI.

הפעלת הגנה על ארטיפקטים

פועלים לפי השלבים במאמר הגדרת שירותים של Security Command Center כדי להפעיל את הגנה על ארטיפקטים.

תפקיד נדרש

כדי לקבל את ההרשאות שדרושות לשימוש ב-Artifact Guard, צריך לבקש מהאדמין להקצות לכם את תפקיד ניהול הזהויות והרשאות הגישה (IAM) הבא בפרויקט או בארגון:

• אדמין של הערכת Artifact Scan Guard (roles/artifactscanguard.policyEvaluator)

אפשר להקצות את התפקיד הזה באמצעות מסוף Google Cloud או על ידי הפעלת הפקודה הבאה ב-Google Cloud CLI:

  gcloud organizations add-iam-policy-binding PROJECT_ID \
        --member="serviceAccount:YOUR_SERVICE_ACCOUNT_EMAIL" \
        --role="roles/artifactscanguard.policyEvaluator" \

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
        --member="serviceAccount:YOUR_SERVICE_ACCOUNT_EMAIL" \
        --role="roles/artifactscanguard.policyEvaluator" \

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

מידע נוסף על תפקידים של הגנה על ארטיפקטים זמין במאמר תפקידים והרשאות של הגנה על ארטיפקטים.

יצירת מדיניות במסוף Google Cloud

כדי ליצור מדיניות להגנה על ארטיפקטים במסוף Google Cloud :

1. במסוף Google Cloud , עוברים אל Security > Rules (אבטחה > כללים) ולוחצים על Create artifact guard policy (יצירת מדיניות להגנה על ארטיפקטים) או על Create policy (יצירת מדיניות).

2. מזינים מזהה מדיניות ותיאור למדיניות, ואז לוחצים על המשך.

3. בחירת היקפי מדיניות ופעולות:

   • פלטפורמת CI/CD

     • בחירת מחברים: המחברים שאליהם המדיניות הזו צריכה להיות משויכת. המדיניות הזו תיבדק בכל בנייה של CI/CD שמשויכת למחברים שנבחרו.
     • פעולה במקרה של הפרת מדיניות: בוחרים את הפעולה שתתבצע במקרה של הפרת מדיניות.
       • Block builds failing the policy (חסימת גרסאות build שלא עומדות בדרישות המדיניות)
       • העברת בנייה עם התראות: תוצאות ההערכה של מדיניות הסורק של CI/CD מוצגות בצינורות העיבוד המחוברים.

   • מרשם

     • Container Analysis: האפשרות הזו רלוונטית רק לארגונים, ולא לפרויקטים. מוסיפים את הפרויקטים שרוצים שהמדיניות הזו תחול עליהם. Google Cloud
     • מאגרי Artifact Registry: בוחרים את המאגרים שרוצים שהמדיניות הזו תחול עליהם. הם צריכים להיות מאגרי Artifact Registry תקינים. אם לא תציינו ערך בשדה הזה, המדיניות תחול על כל המאגרים.
     • פעולה בהתאם למדיניות: בוחרים את הפעולה שתתבצע במקרה של הפרת המדיניות.
       • ביקורת בלבד: המדיניות מוערכת והפרות מתועדות למטרות ביקורת בלי לחסום את המשאב. כדי לראות הפרות, צריך להפעיל את ה-API באמצעות ListArtifactPoliciesEvaluations ו-GetArtifactPoliciesEvaluation.
       • בקרת כניסה: אם מתרחשת הפרה בזמן הערכת המדיניות, המשאב נחסם.
         • הגדרת מדיניות של Binary Authorization למצב הרצת בדיקה: מידע נוסף זמין במאמר בנושא הפעלת מצב הרצת בדיקה.
         • Binary Authorization Projects: רלוונטי רק לארגונים, לא לפרויקטים. מוסיפים את הפרויקטים שרוצים להחיל עליהם את בקרת הגישה. Google Cloud
         • אשכולות GKE: אם השדה הזה נשאר ריק, בקרה על אישור בקשות מוחלת על כל אשכולות GKE.
         • החלפת מדיניות Binary Authorization: צריך לסמן את התיבה הזו כדי לעדכן את מדיניות Binary Authorization לצורך בקרת כניסה.

   • זמן ריצה

     • פרויקטים בזמן ריצה: רלוונטי רק לארגונים, לא לפרויקטים. מוסיפים פרויקטים של זמן ריצה שמכילים אשכולות GKE.
     • אשכולות GKE: בוחרים את אשכולות GKE שעליהם רוצים להחיל את המדיניות הזו. אם השדה הזה יישאר ריק, המדיניות תחול על כל אשכולות GKE בפרויקטים שנבחרו.

4. מגדירים את כלל המדיניות. כלל מדיניות הוא קבוצה של קריטריונים שקובעים אילו פגיעויות וחבילות מותרות בסביבה שלכם. כלל מדיניות כולל את הפרטים הבאים:

   • סף חומרה: הגדרת רמת החומרה המינימלית של פגיעות שתיכלל בהערכת המדיניות. כדי שנקודות החולשה ייכללו, הן צריכות לעמוד בסף הזה או לעבור אותו.

     לדוגמה, אם מגדירים את הכלל ל-Medium, כל הפגיעויות ברמות Medium, ‏ High ו-Critical ייכללו בהערכה.

   • סף מספר הפגיעויות: הגדרת המספר המקסימלי של פגיעויות שמותרות אחרי שמחילים את מסנני המדיניות האחרים. הפרה של המדיניות מתרחשת רק אם מספר נקודות החולשה הספציפיות והמסוננות האלה חורג מהמגבלה.

     לדוגמה, אם מגדירים סף חומרה של גבוה, לא כוללים נקודות חולשה שאין תיקונים זמינים עבורן ומגדירים סף ספירה של חמש, הבנייה תיכשל אם היא מכילה יותר מחמש נקודות חולשה שניתנות לתיקון ורמת הסיכון שלהן היא גבוהה או קריטית.

   • סטטוס נקודת החולשה: מציינים אם לכלול רק נקודות חולשה שיש להן תיקון זמין. כך אפשר לתעדף את התיקון על ידי בחירת כל נקודות החולשה או רק אלה שאפשר לתקן.

   • חריגים והגבלות: בקטעים האלה אפשר ליצור אישורים או חסימות ספציפיים שמבטלים את המדיניות הכללית.

     • ‫CVEs שמוחרגים: מציינים CVEs שנחשבים מקובלים בסביבה שלכם למשך תקופה מסוימת. האפשרות הזו שימושית להטמעת פתרונות זמניים. אפשר להגדיר תאריך תפוגה לחריגים האלה. אחרי התאריך הזה, נקודת החולשה כבר לא מותרת וגורמת לכך שהמדיניות לא תעמוד בדרישות.
     • CVEs מוגבלים: מציינים CVEs לחסימה תמידית, ללא קשר לדירוג החומרה שלהם. האפשרות הזו שימושית במיוחד לציון פגיעויות שמציגות סיכון ייחודי לאפליקציה או לתשתית הספציפית שלכם.
     • חבילות מותרות: רשימת חבילות שנחשבות מאובטחות. אפשר להגדיר את גרסת החבילה, אחרת כל הגרסאות מותרות.
     • חבילות מוגבלות: רשימת החבילות שרוצים להגביל. חבילות מוגבלות גורמות לכשל במדיניות. אפשר להגדיר את גרסת החבילה, אחרת כל הגרסאות מוגבלות.

5. לוחצים על יצירה.

המדיניות הזמינה של הגנה על ארטיפקטים מפורטת בטבלה בדף כללים.

יצירת כלל מדיניות באמצעות Google Cloud CLI

בקטע הזה מפורטות הפקודות של ה-CLI של gcloud שזמינות להגנה על ארטיפקטים ומוסבר איך להשתמש בהן.

דרישות מוקדמות ל-Google Cloud CLI

• מוודאים שגרסת ה-CLI של gcloud היא 559.0.0 ואילך.
• מגדירים את הפרויקט כפרויקט ההגדרות.

כדי לעשות זאת, מריצים את הפקודות הבאות ב-CLI של gcloud:

   gcloud components update --version=559.0.0
   gcloud config set project PROJECT_ID

פקודות של Google Cloud CLI

gcloud alpha scc artifact-guard policies create \
    (POLICY --location=LOCATION (--organization=ORGANIZATION_ID | --project=PROJECT_NUMBER)) \
    --policy-file-path=PATH_TO_FILE

gcloud alpha scc artifact-guard policies describe \
    (POLICY --location=LOCATION (--organization=ORGANIZATION_ID | --project=PROJECT_NUMBER))

gcloud alpha scc artifact-guard policies list PARENT

gcloud alpha scc artifact-guard policies delete \
    (POLICY --location=LOCATION (--organization=ORGANIZATION_ID | --project=PROJECT_NUMBER)) \
    [--etag=ETAG]

gcloud alpha scc artifact-guard policies update \
    (POLICY --location=LOCATION (--organization=ORGANIZATION_ID | --project=PROJECT_NUMBER)) \
    --policy-file-path=PATH_TO_FILE [--allow-missing] \
    [--update-mask=UPDATE_MASK]

קובץ YAML

קובץ YAML להגדרת מדיניות של הגנה על ארטיפקטים צריך להיות בהתאם לתבנית הבאה:

  displayName: <Human readable display name for the policy>
  description: <Description of the policy>

  vulnerabilityPolicy: # (at least one of these rules must be defined)
    exemptedCves:
      - id: <cve-id-1>
        gracePeriodExpirationTime: <optional-grace-period-expiration-time>
      - id: <cve-id-2>
        gracePeriodExpirationTime: <optional-grace-period-expiration-time>

    maxAllowedSeverity: <The maximum severity allowed in the detected
    vulnerabilities. The severity values can be LOW, MEDIUM, HIGH, CRITICAL>

    maximumAllowedVulnerabilities: <The maximum number of vulnerabilities that
    can be detected>

    excludeUnfixable: <Whether to exclude the vulnerabilities without an
    available fix from the purview of the policy evaluation>

    restrictedCves:
      - <restricted-cve-id-1>
      - <restricted-cve-id-2>

    allowedPackages:
      - name: <allowed_package_name_1>
        version: <optional_version_of_allowed_package_1. If unspecified, all the
        versions of the package are allowed>
      - name: <allowed_package_name_2>
        version: <optional_version_of_allowed_package_2>

    restrictedPackages:
      - name: <restricted_package_name_1>
        version: <optional_version_of_restricted_package_1. If unspecified, all
        the versions of the package are restricted>
      - name: <restricted_package_name_2>
        version: <optional_version_of_restricted_package_2>

  scope:
    pipeline:
      connectorIds:
        - <connector_id_1>
        - <connector_id_2>
      enforcementAction: <action to take in case the policy evaluation fails.
      The supported values are AUDIT_ONLY or BLOCK_BUILD>

    registry:
      projectIds:
        - <project_id_1>
      garRepositoryNamePatterns:
        - <repository_name_pattern_1>
      imageNamePatterns:
        - <image_name_pattern_1>
      enforcementAction: <AUDIT_ONLY or ADMISSION_CONTROL>
      admissionControl:
        deploymentProjectIds:
          - <project_id_1>
        gkeClusterNames:
          - <cluster_name_1>
        dryRun: <bool>
        overrideBinauthzPolicy: <bool>

    runtime:
        deploymentProjectIds:
          - <project_id_1>
        gkeClusterNames:
          - <cluster_name_1>
        dryRun: <bool>
        overrideBinauthzPolicy: <bool>
        enforcementAction: <AUDIT_ONLY or BLOCK_DEPLOYMENT>

  enablementState: <The enablement state of the policy. The supported values are
  ACTIVE, INACTIVE>

הנה דוגמה לקובץ מדיניות של הגנה על ארטיפקטים:

  displayName: 'A sample policy'
  description: Vulnerability Policy
  vulnerabilityPolicy:
    exemptedCves:
      - id: CVE-2022-40897
        gracePeriodExpirationTime: '2026-09-10T18:58:08Z'
      - id: CVE-2024-6345
    maxAllowedSeverity: MEDIUM
    maximumAllowedVulnerabilities: 5
    excludeUnfixable: true
    restrictedCves:
      - CVE-2013-4392
      - CVE-2024-4143
    allowedPackages:
      - name: systemd
        version: '257.7'
      - name: util-linux
    restrictedPackages:
      - name: ncurses
        version: 6.5+20250216
      - name: setuptools
  scope:
    pipeline:
      connectorIds:
        - organizations/123/locations/global/connectors/demoConnector
      enforcementAction: BLOCK_BUILD
    registry:
      projectIds:
        - projects/my-registry-project-id
        - projects/another-registry-project
      garRepositoryNamePatterns:
        - us-west1-docker.pkg.dev/my-registry-project-id/my-repo
        - gcr.io/team-a/internal-artifacts
      imageNamePatterns:
        - my-repo/service-a:.*
        - my-repo/service-b:v1\..*
      enforcementAction: ADMISSION_CONTROL
      admissionControl:
        deploymentProjectIds:
          - projects/my-deployment-project
        gkeClusterNames:
          - //container.googleapis.com/projects/my-deployment-project/locations/us-central1/clusters/gke-cluster-a
          - //container.googleapis.com/projects/my-deployment-project/locations/us-central1/clusters/gke-cluster-b
        dryRun: true
        overrideBinauthzPolicy: true
    runtime:
      deploymentProjectIds:
        - projects/my-deployment-project
      gkeClusterNames:
        - //container.googleapis.com/projects/my-deployment-project/locations/us-central1/clusters/gke-cluster-a
        - //container.googleapis.com/projects/my-deployment-project/locations/us-central1/clusters/gke-cluster-b
      dryRun: false
      overrideBinauthzPolicy: false
      enforcementAction: BLOCK_DEPLOYMENT
  enablementState: ACTIVE

ביצועים ומגבלות

• מספר מקסימלי של כללי מדיניות לכל משאב הורה: במשאב הורה (ארגון או פרויקט) אפשר להגדיר עד 1,000 כללי מדיניות. כולל את כל סוגי כללי המדיניות בנושא אבטחה שהוגדרו ב-Artifact Guard.
• מספר מקסימלי של מדיניות בנושא פגיעויות לכל משאב אב: במסגרת מגבלת המדיניות הכוללת, יש מגבלה על מספר המדיניות שמתמקדת בממצאי פגיעויות. למשאב אב (ארגון או פרויקט) יכולים להיות עד 500 כללי מדיניות שמטרתם לטפל בפגיעויות.
• מספר המדיניות המקסימלי לכל צינור עיבוד נתונים: לכל צינור עיבוד נתונים של CI/CD שבו משולבות מדיניות של Artifact Guard לאכיפה בזמן הבנייה, מותר להשתמש במקסימום 100 כללי מדיניות.
• מספר העדכונים המקסימלי למדיניות בשבוע: לכל מדיניות אפשר לבצע עד 100 עדכונים בשבוע.
• מספר מקסימלי של מחברי צינורות לכל מדיניות: לכל מדיניות יכולים להיות משויכים עד 100 מחברי צינורות.
• מספר ה-CVE המקסימלי שניתן להחריג ולהגביל לכל מדיניות: כל מדיניות יכולה להחריג ולהגביל עד 100 CVE.
• מספר החבילות המקסימלי המותר והמוגבל לכל מדיניות: כל מדיניות יכולה לאפשר ולהגביל עד 100 חבילות.

הגבלות נוספות מפורטות במאמר פתרון בעיות.

פתרון בעיות

בקטע הזה מפורטים השדות של מדיניות הגנה על ארטיפקטים ושגיאות נפוצות עם פתרונות.

אימות המדיניות

הגנה על ארטיפקטים מאמת את הגדרות המדיניות כשיוצרים או מעדכנים מדיניות. אם האימות נכשל, הגנה על ארטיפקטים דוחה את הבקשה ומציגה הודעת שגיאה מפורטת.

שדות כלליים של מדיניות

המדיניות בנושא נקודות חולשה

היקף המדיניות

היקף הפייפליין

היקף המרשם

היקף זמן הריצה

ההיקף של סביבת זמן הריצה מאפשר להגנה על ארטיפקטים לעקוב באופן פעיל אחרי קובצי אימג' של קונטיינרים שפועלים בסביבת GKE. כשמחילים מדיניות על ההיקף הזה, ממצאי נקודות החולשה ב-Security Command Center משתפרים באופן אוטומטי עם מטא נתונים של המדיניות לגבי תמונות שנפרסו בפרויקטים או באשכולות שצוינו.

אם קובץ אימג' של קונטיינר שפועל באשכול GKE בפיקוח מפרה מדיניות, המטא-נתונים ArtifactGuardPolicies מתווספים להודעת ממצאי נקודות החולשה ב-Security Command Center, באופן הבא:

// Added to the SCC 'message Finding'
ArtifactGuardPolicies artifact_guard_policies = X;

message ArtifactGuardPolicies {
  string resource_id = 1;     // e.g., //us-docker.pkg.dev/google-samples/containers/gke/security/...
  repeated Policy failing_policies = 2;
}

message Policy {
  enum Type {
    TYPE_UNSPECIFIED = 0;
    VULNERABILITY = 1;
  }
  Type type = 1;
  string policy_id = 2;     // e.g., organizations/3392779/locations/global/policies/prod-policy
  string failure_reason = 3;     // e.g., severity=HIGH AND max_vuln_count=2
}

פעולת אכיפה

במקרה של פעולות BLOCK_BUILD וBLOCK_DEPLOYMENT, הערכת המדיניות מחזירה פעולת אכיפה מומלצת. עם זאת, צריך להגדיר את האכיפה בפועל בהגדרות של צינור העיבוד באמצעות ההמלצה הזו.

מחיקת מדיניות

אי אפשר למחוק מדיניות פעילה, וניסיון לעשות זאת יגרום לשגיאה FAILED_PRECONDITION. כדי למחוק מדיניות, צריך קודם להגדיר את הסטטוס שלה כInactive.

שגיאות נפוצות

בטבלה הבאה מפורטות כמה שגיאות נפוצות והצעות לפתרונות.

בעיות נפוצות בתפעול

בנוסף לבעיות באימות תוכן המדיניות, יכולות להיות בעיות במישור הבקרה הבסיסי שלGoogle Cloud . הבעיות האלה יכולות להשפיע על בקשות API, על פעולות ממושכות ועל מצבי משאבים, ובדרך כלל הן מופיעות כקודי שגיאה ספציפיים או כהתנהגות חריגה.