GCP - Artifact Registry Enum
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Artifact Registry es un servicio completamente gestionado que te permite gestionar, almacenar y asegurar tus artefactos de software. Es esencialmente un repositorio para almacenar dependencias de construcción, como imágenes de Docker, Maven, paquetes de npm y otros tipos de artefactos. Se utiliza comúnmente en pipelines de CI/CD para almacenar y versionar los artefactos producidos durante el proceso de desarrollo de software.
Las características clave de Artifact Registry incluyen:
Repositorio Unificado: Soporta múltiples tipos de artefactos, permitiéndote tener un solo repositorio para imágenes de Docker, paquetes de lenguaje (como Maven de Java, npm de Node.js) y otros tipos de artefactos, lo que permite controles de acceso consistentes y una vista unificada de todos tus artefactos.
Totalmente Gestionado: Como servicio gestionado, se encarga de la infraestructura subyacente, escalado y seguridad, reduciendo la carga de mantenimiento para los usuarios.
Control de Acceso Granular: Se integra con la Gestión de Identidad y Acceso (IAM) de Google Cloud, permitiéndote definir quién puede acceder, subir o descargar artefactos en tus repositorios.
Geo-replicación: Soporta la replicación de artefactos en múltiples regiones, mejorando la velocidad de descargas y asegurando disponibilidad.
Integración con Servicios de Google Cloud: Funciona sin problemas con otros servicios de GCP como Cloud Build, Kubernetes Engine y Compute Engine, lo que lo convierte en una opción conveniente para equipos que ya trabajan dentro del ecosistema de Google Cloud.
Seguridad: Ofrece características como escaneo de vulnerabilidades y análisis de contenedores para ayudar a asegurar que los artefactos almacenados sean seguros y estén libres de problemas de seguridad conocidos.
Al crear un nuevo repositorio, es posible seleccionar el formato/tipo del repositorio entre varios como Docker, Maven, npm, Python... y el modo que generalmente puede ser uno de estos tres:
Repositorio Estándar: Modo predeterminado para almacenar tus propios artefactos (como imágenes de Docker, paquetes de Maven) directamente en GCP. Es seguro, escalable y se integra bien dentro del ecosistema de Google Cloud.
Repositorio Remoto (si está disponible): Actúa como un proxy para almacenar en caché artefactos de repositorios externos, públicos. Ayuda a prevenir problemas por cambios en las dependencias upstream y reduce la latencia al almacenar en caché artefactos de acceso frecuente.
Repositorio Virtual (si está disponible): Proporciona una interfaz unificada para acceder a múltiples (estándar o remotos) repositorios a través de un solo punto final, simplificando la configuración del lado del cliente y la gestión de acceso para artefactos distribuidos en varios repositorios.
Para un repositorio virtual, necesitarás seleccionar repositorios y darles una prioridad (el repositorio con la mayor prioridad será utilizado).
Puedes mezclar repositorios remotos y estándar en uno virtual, si la prioridad del remoto es mayor que la estándar, se utilizarán paquetes del remoto (por ejemplo, PyPi). Esto podría llevar a una Confusión de Dependencias.
Ten en cuenta que en la versión Remota de Docker es posible dar un nombre de usuario y un token para acceder a Docker Hub. El token se almacena en el Secret Manager.
Como se esperaba, por defecto se utiliza una clave gestionada por Google, pero se puede indicar una clave gestionada por el cliente (CMEK).
Eliminar artefactos: Los artefactos serán eliminados de acuerdo con la política de limpieza.
Ejecución en seco: (La predeterminada) Los artefactos no serán eliminados. Se evaluarán las políticas de limpieza y se enviarán eventos de prueba de eliminación a Cloud Audit Logging.
Es posible habilitar el escáner de vulnerabilidades que verificará si hay vulnerabilidades dentro de imágenes de contenedores.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)