GCP - Artifact Registry Enum
Basiese Inligting
Google Cloud Artefak-Registrasie is 'n ten volle bestuurde diens wat jou in staat stel om jou sagteware-artefakte te bestuur, stoor en beveilig. Dit is in wese 'n bewaarplek vir stoorafhanklikhede, soos Docker-beeldmateriaal, Maven, npm-pakkies en ander tipes artefakte. Dit word gewoonlik gebruik in CI/CD-pyplyne om die artefakte wat tydens die sagteware-ontwikkelingsproses geproduseer word, te stoor en te versieer.
Kernkenmerke van Artefak-Registrasie sluit in:
Geïntegreerde Bewaarplek: Dit ondersteun verskeie tipes artefakte, wat jou in staat stel om 'n enkele bewaarplek vir Docker-beeldmateriaal, taalpakkies (soos Java se Maven, Node.js se npm) en ander tipes artefakte te hê, wat konsekwente toegangskontroles en 'n geïntegreerde siening oor al jou artefakte bied.
Ten volle Bestuur: As 'n bestuurde diens sorg dit vir die onderliggende infrastruktuur, skaalbaarheid en sekuriteit, wat die onderhoudslas vir gebruikers verminder.
Fynkorrelige Toegangskontrole: Dit integreer met Google Cloud se Identiteit- en Toegangsbestuur (IAM), wat jou in staat stel om te bepaal wie toegang kan verkry tot, artefakte kan oplaai of aflaai in jou bewaarplekke.
Geo-replikasie: Dit ondersteun die replikasie van artefakte oor verskeie streke, wat die aflaaispoed verbeter en beskikbaarheid verseker.
Integrasie met Google Cloud-dienste: Dit werk naadloos saam met ander GCP-dienste soos Cloud Build, Kubernetes Engine en Compute Engine, wat dit 'n gerieflike keuse maak vir spanne wat reeds binne die Google Cloud-ekosisteem werk.
Sekuriteit: Bied funksies soos kwesbaarheidsskandering en houeranalise om te help verseker dat die gestoorde artefakte veilig is en vry van bekende sekuriteitskwessies.
Formate en Modi
Wanneer jy 'n nuwe bewaarplek skep, is dit moontlik om 'n formaat/tipe vir die bewaarplek te kies uit verskeie opsies soos Docker, Maven, npm, Python... en die modus wat gewoonlik een van die volgende kan wees:
Standaard Bewaarplek: Standaardmodus vir die stoor van jou eie artefakte (soos Docker-beeldmateriaal, Maven-pakkies) direk in GCP. Dit is veilig, skaalbaar en integreer goed binne die Google Cloud-ekosisteem.
Afgeleë Bewaarplek (indien beskikbaar): Tree op as 'n proksi vir die gekas van artefakte vanaf eksterne, openbare bewaarplekke. Dit help om probleme te voorkom as gevolg van veranderende afhanklikhede stroomopwaarts en verminder latensie deur gereeld benaderde artefakte te kas.
Virtuele Bewaarplek (indien beskikbaar): Verskaf 'n geïntegreerde koppelvlak om toegang te verkry tot verskeie (standaard of afgeleë) bewaarplekke deur middel van 'n enkele eindpunt, wat die konfigurasie aan die kliëntkant en toegangsbestuur vir artefakte wat oor verskillende bewaarplekke versprei is, vereenvoudig.
Vir 'n virtuele bewaarplek moet jy bewaarplekke kies en hulle 'n prioriteit gee (die bewaarplek met die hoogste prioriteit sal gebruik word).
Jy kan afgeleë en standaard bewaarplekke meng in 'n virtuele een, as die prioriteit van die afgeleë een groter as die standaard is, sal pakkies van die afgeleë bewaarplek (soos PyPi) gebruik word. Dit kan lei tot 'n Afhanklikheidsverwarring.
Let daarop dat in die Afgeleë weergawe van Docker dit moontlik is om 'n gebruikersnaam en token te gee om toegang tot Docker Hub te verkry. Die token word dan in die Secret Manager gestoor.
Versleuteling
Soos verwag, word standaard 'n deur Google bestuurde sleutel gebruik, maar 'n deur die kliënt bestuurde sleutel kan aangedui word (CMEK).
Opruimingsbeleide
Verwyder artefakte: Artefakte sal volgens die opruimingsbeleid-kriteria verwyder word.
Droë loop: (Verstek een) Artefakte sal nie verwyder word nie. Opruimingsbeleide sal geëvalueer word en toetsverwyderingsgebeure na Cloud Audit Logging gestuur word.
Kwesbaarheidsskandering
Dit is moontlik om die kwesbaarheidsskanner te aktiveer wat sal ondersoek instel vir kwesbaarhede binne houerbeeldmateriaal.
Enumerasie
Voorregverhoging
GCP - Artifact Registry PrivescOngeagte Toegang
GCP - Artifact Registry Unauthenticated EnumPost-Exploitation
GCP - Artifact Registry Post ExploitationVolharding
GCP - Artifact Registry PersistenceLast updated