GCP - Artifact Registry Enum
Osnovne informacije
Google Cloud Artifakt Registar je potpuno upravljana usluga koja vam omogućava da upravljate, skladištite i obezbedite svoje softverske artefakte. To je suštinski repozitorijum za skladištenje zavisnosti za izgradnju, kao što su Docker slike, Maven, npm paketi i druge vrste artefakata. Često se koristi u CI/CD tokovima za skladištenje i verzionisanje artefakata koji se proizvode tokom procesa razvoja softvera.
Ključne karakteristike Artifakt Registra uključuju:
Ujedinjeni repozitorijum: Podržava više vrsta artefakata, omogućavajući vam da imate jedan repozitorijum za Docker slike, jezičke pakete (poput Java Maven-a, Node.js npm-a) i druge vrste artefakata, omogućavajući dosledne kontrole pristupa i jedinstven prikaz svih vaših artefakata.
Potpuno upravljano: Kao upravljana usluga, brine se o osnovnoj infrastrukturi, skaliranju i bezbednosti, smanjujući održavanje za korisnike.
Detaljna kontrola pristupa: Integriše se sa Google Cloud Identity and Access Management (IAM), omogućavajući vam da definišete ko može pristupiti, otpremiti ili preuzeti artefakte iz vaših repozitorijuma.
Geografska replikacija: Podržava replikaciju artefakata u više regiona, poboljšavajući brzinu preuzimanja i obezbeđujući dostupnost.
Integracija sa Google Cloud uslugama: Besprezno funkcioniše sa drugim GCP uslugama poput Cloud Build-a, Kubernetes Engine-a i Compute Engine-a, čineći ga pogodnim izborom za timove koji već rade unutar Google Cloud ekosistema.
Bezbednost: Nudi funkcionalnosti poput skeniranja ranjivosti i analize kontejnera kako bi se osiguralo da su skladišteni artefakti bezbedni i slobodni od poznatih bezbednosnih problema.
Format i režimi
Prilikom kreiranja novog repozitorijuma moguće je izabrati format/vrstu repozitorijuma među nekoliko opcija kao što su Docker, Maven, npm, Python... i režim koji obično može biti jedan od sledeća tri:
Standardni repozitorijum: Podrazumevani režim za skladištenje sopstvenih artefakata (poput Docker slika, Maven paketa) direktno u GCP. Siguran je, skalabilan i dobro se integriše unutar Google Cloud ekosistema.
Udaljeni repozitorijum (ako je dostupan): Deluje kao proxy za keširanje artefakata iz spoljnih, javnih repozitorijuma. Pomaže u sprečavanju problema izmena zavisnosti naviše i smanjuje latenciju keširanjem često pristupanih artefakata.
Virtualni repozitorijum (ako je dostupan): Pruža ujedinjeni interfejs za pristup više (standardnih ili udaljenih) repozitorijuma putem jedne tačke, pojednostavljujući konfiguraciju na strani klijenta i upravljanje pristupom za artefakte raspoređene po različitim repozitorijumima.
Za virtualni repozitorijum će biti potrebno izabrati repozitorijume i dodeliti im prioritet (repozitorijum sa najvećim prioritetom će biti korišćen).
Možete mešati udaljene i standardne repozitorijume u virtualnom repozitorijumu, ako je prioritet za udaljeni veći od standardnog, paketi iz udaljenog (npr. PyPi) će biti korišćeni. Ovo može dovesti do konfuzije zavisnosti.
Imajte na umu da u Udaljenoj verziji Docker-a možete navesti korisničko ime i token za pristup Docker Hub-u. Token se zatim čuva u Secret Manager-u.
Enkripcija
Kao što se i očekuje, podrazumevano se koristi ključ koji upravlja Google-om, ali može se navesti i ključ koji upravlja korisnikom (CMEK).
Politike čišćenja
Brisanje artefakata: Artefakti će biti obrisani prema kriterijumima politike čišćenja.
Proba bez brisanja: (Podrazumevana) Artefakti neće biti obrisani. Politike čišćenja će biti evaluirane, a test događaji brisanja će biti poslati Cloud Audit Logging-u.
Skeniranje ranjivosti
Moguće je omogućiti skeniranje ranjivosti koje će proveravati ranjivosti unutar kontejnerskih slika.
Enumeracija
Eskalacija privilegija
GCP - Artifact Registry PrivescNeautentifikovan pristup
GCP - Artifact Registry Unauthenticated EnumPost-eksploatacija
GCP - Artifact Registry Post ExploitationUpornost
GCP - Artifact Registry PersistenceLast updated