GCP - Artifact Registry Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Artifact Registry è un servizio completamente gestito che consente di gestire, archiviare e proteggere i propri artefatti software. È essenzialmente un repository per archiviare le dipendenze di build, come immagini Docker, pacchetti Maven, npm e altri tipi di artefatti. È comunemente utilizzato nei pipeline CI/CD per archiviare e versionare gli artefatti prodotti durante il processo di sviluppo software.
Le caratteristiche principali di Artifact Registry includono:
Repository Unificato: Supporta più tipi di artefatti, consentendo di avere un unico repository per immagini Docker, pacchetti di linguaggi (come Maven di Java, npm di Node.js) e altri tipi di artefatti, abilitando controlli di accesso coerenti e una vista unificata su tutti i propri artefatti.
Completamente Gestito: Essendo un servizio gestito, si occupa dell'infrastruttura sottostante, della scalabilità e della sicurezza, riducendo il carico di manutenzione per gli utenti.
Controllo degli Accessi Flessibile: Si integra con l'Identity and Access Management (IAM) di Google Cloud, consentendo di definire chi può accedere, caricare o scaricare artefatti nei propri repository.
Geo-replica: Supporta la replica di artefatti in più regioni, migliorando la velocità dei download e garantendo disponibilità.
Integrazione con i Servizi Google Cloud: Funziona senza problemi con altri servizi GCP come Cloud Build, Kubernetes Engine e Compute Engine, rendendolo una scelta conveniente per i team già attivi nell'ecosistema Google Cloud.
Sicurezza: Offre funzionalità come scansione delle vulnerabilità e analisi dei container per aiutare a garantire che gli artefatti archiviati siano sicuri e privi di problemi di sicurezza noti.
Quando si crea un nuovo repository è possibile selezionare il formato/tipo del repository tra diversi come Docker, Maven, npm, Python... e la modalità che di solito può essere una di queste tre:
Repository Standard: Modalità predefinita per archiviare i propri artefatti (come immagini Docker, pacchetti Maven) direttamente in GCP. È sicuro, scalabile e si integra bene nell'ecosistema Google Cloud.
Repository Remoto (se disponibile): Funziona come un proxy per caching di artefatti da repository esterni, pubblici. Aiuta a prevenire problemi derivanti da dipendenze che cambiano a monte e riduce la latenza memorizzando nella cache artefatti frequentemente accessibili.
Repository Virtuale (se disponibile): Fornisce un interfaccia unificata per accedere a più repository (standard o remoti) attraverso un unico endpoint, semplificando la configurazione lato client e la gestione degli accessi per artefatti distribuiti su vari repository.
Per un repository virtuale sarà necessario selezionare i repository e assegnare loro una priorità (il repository con la priorità più alta sarà utilizzato).
È possibile mescolare repository remoti e standard in uno virtuale, se la priorità del remoto è maggiore rispetto allo standard, i pacchetti dal remoto (ad esempio PyPi) saranno utilizzati. Questo potrebbe portare a una Confusione delle Dipendenze.
Nota che nella versione Remota di Docker è possibile fornire un nome utente e un token per accedere a Docker Hub. Il token viene quindi memorizzato nel Secret Manager.
Come previsto, per impostazione predefinita viene utilizzata una chiave gestita da Google, ma è possibile indicare una chiave gestita dal cliente (CMEK).
Elimina artefatti: Gli artefatti saranno eliminati secondo i criteri della politica di pulizia.
Esecuzione in modalità di prova: (Quella predefinita) Gli artefatti non saranno eliminati. Le politiche di pulizia saranno valutate e gli eventi di eliminazione di prova inviati a Cloud Audit Logging.
È possibile abilitare lo scanner di vulnerabilità che controllerà le vulnerabilità all'interno delle immagini dei container.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
