GCP - Artifact Registry Enum
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Artifact Registry is 'n volledig bestuurde diens wat jou toelaat om jou sagteware artefakte te bestuur, te stoor en te beveilig. Dit is in wese 'n repository vir die stoor van bou afhanklikhede, soos Docker beelde, Maven, npm-pakkette, en ander tipes artefakte. Dit word gewoonlik in CI/CD pyplyne gebruik om die artefakte wat tydens die sagteware ontwikkelingsproses geproduseer word, te stoor en te versioneer.
Belangrike kenmerke van Artifact Registry sluit in:
Gekonsolideerde Repository: Dit ondersteun meerdere tipes artefakte, wat jou toelaat om 'n enkele repository vir Docker beelde, taal pakkette (soos Java se Maven, Node.js se npm), en ander tipes artefakte te hê, wat konsekwente toegangbeheer en 'n gekonsolideerde uitsig oor al jou artefakte moontlik maak.
Volledig Bestuurde: As 'n bestuurde diens, sorg dit vir die onderliggende infrastruktuur, skaal, en sekuriteit, wat die onderhoudsbelasting vir gebruikers verminder.
Fyn-granulêre Toegangbeheer: Dit integreer met Google Cloud se Identiteit en Toegang Bestuur (IAM), wat jou toelaat om te definieer wie toegang kan hê, artefakte kan oplaai of aflaai in jou repositories.
Geo-replikasie: Dit ondersteun die replika van artefakte oor meerdere streke, wat die spoed van aflaaie verbeter en beskikbaarheid verseker.
Integrasie met Google Cloud Dienste: Dit werk naatloos saam met ander GCP dienste soos Cloud Build, Kubernetes Engine, en Compute Engine, wat dit 'n gerieflike keuse maak vir spanne wat reeds binne die Google Cloud ekosisteem werk.
Sekuriteit: Bied kenmerke soos kwesbaarheid skandering en houer analise om te help verseker dat die gestoor artefakte veilig is en vry van bekende sekuriteitsprobleme.
Wanneer 'n nuwe repository geskep word, is dit moontlik om die formaat/tipes van die repository onder verskeie soos Docker, Maven, npm, Python... te kies en die modus wat gewoonlik een van hierdie drie kan wees:
Standaard Repository: Standaardmodus vir die stoor van jou eie artefakte (soos Docker beelde, Maven pakkette) direk in GCP. Dit is veilig, skaalbaar, en integreer goed binne die Google Cloud ekosisteem.
Afgeleë Repository (indien beskikbaar): Funksioneer as 'n proxy vir die kas van artefakte van eksterne, openbare repositories. Dit help om probleme van afhanklikhede wat opwaarts verander te voorkom en verminder latensie deur gereeld toeganklike artefakte te kas.
Virtuele Repository (indien beskikbaar): Bied 'n gekonsoleerde koppelvlak om toegang te verkry tot meerdere (standaard of afgeleë) repositories deur 'n enkele eindpunt, wat kliënt-kant konfigurasie en toegangbeheer vir artefakte wat oor verskeie repositories versprei is, vereenvoudig.
Vir 'n virtuele repository sal jy repositories moet kies en hulle 'n prioriteit gee (die repo met die grootste prioriteit sal gebruik word).
Jy kan afgeleë en standaard repositories in 'n virtuele een meng, as die prioriteit van die afgeleë groter is as die standaard, sal pakkette van afgeleë (PyPi byvoorbeeld) gebruik word. Dit kan lei tot 'n Afhanklikheid Verwarring.
Let daarop dat in die Afgeleë weergawe van Docker dit moontlik is om 'n gebruikersnaam en token te gee om toegang tot Docker Hub te verkry. Die token word dan in die Secret Manager gestoor.
Soos verwag, word 'n Google-bestuurde sleutel standaard gebruik, maar 'n Klant-bestuurde sleutel kan aangedui word (CMEK).
Verwyder artefakte: Artefakte sal verwyder word volgens die skoonmaakbeleid kriteria.
Droë loop: (Standaard een) Artefakte sal nie verwyder word nie. Skoonmaakbeleide sal geëvalueer word, en toets verwydering gebeurtenisse sal na Cloud Audit Logging gestuur word.
Dit is moontlik om die kwesbaarheid skandeerder in te skakel wat vir kwesbaarhede binne houer beelde sal kyk.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
