GCP - Artifact Registry Enum
Grundlegende Informationen
Google Cloud Artifact Registry ist ein vollständig verwalteter Dienst, der es Ihnen ermöglicht, Ihre Software-Artefakte zu verwalten, zu speichern und zu sichern. Es handelt sich im Wesentlichen um ein Repository zum Speichern von Build-Abhängigkeiten, wie z. B. Docker-Images, Maven-, npm-Paketen und anderen Arten von Artefakten. Es wird üblicherweise in CI/CD-Pipelines verwendet, um die Artefakte zu speichern und zu versionieren, die während des Softwareentwicklungsprozesses erstellt werden.
Zu den wichtigsten Funktionen von Artifact Registry gehören:
Vereinheitlichtes Repository: Es unterstützt mehrere Arten von Artefakten, sodass Sie ein einziges Repository für Docker-Images, Sprachpakete (wie Java's Maven, Node.js's npm) und andere Arten von Artefakten haben können, was konsistente Zugriffssteuerungen und eine einheitliche Ansicht über alle Ihre Artefakte ermöglicht.
Vollständig verwaltet: Als verwalteter Dienst kümmert er sich um die zugrunde liegende Infrastruktur, Skalierung und Sicherheit und reduziert den Wartungsaufwand für Benutzer.
Feingranulare Zugriffssteuerung: Er integriert sich mit der Identitäts- und Zugriffsverwaltung (IAM) von Google Cloud, sodass Sie festlegen können, wer auf Ihre Repositories zugreifen, Artefakte hochladen oder herunterladen kann.
Geo-Replikation: Er unterstützt die Replikation von Artefakten in mehreren Regionen, verbessert die Download-Geschwindigkeit und stellt die Verfügbarkeit sicher.
Integration mit Google Cloud-Diensten: Er arbeitet nahtlos mit anderen GCP-Diensten wie Cloud Build, Kubernetes Engine und Compute Engine zusammen, was ihn zu einer bequemen Wahl für Teams macht, die bereits im Google Cloud-Ökosystem arbeiten.
Sicherheit: Bietet Funktionen wie Vulnerability Scanning und Container-Analyse, um sicherzustellen, dass die gespeicherten Artefakte sicher und frei von bekannten Sicherheitsproblemen sind.
Formate und Modi
Beim Erstellen eines neuen Repositories ist es möglich, das Format/den Typ des Repositories aus mehreren auszuwählen, wie Docker, Maven, npm, Python... und den Modus, der in der Regel einer dieser drei sein kann:
Standard-Repository: Standardmodus zum Speichern eigener Artefakte (wie Docker-Images, Maven-Pakete) direkt in GCP. Es ist sicher, skalierbar und integriert sich gut in das Google Cloud-Ökosystem.
Remote-Repository (falls verfügbar): Dient als Proxy zum Zwischenspeichern von Artefakten aus externen, öffentlichen Repositories. Es hilft, Probleme zu verhindern, die durch Änderungen von Abhängigkeiten stromaufwärts entstehen, und reduziert die Latenz durch Zwischenspeichern häufig abgerufener Artefakte.
Virtuelles Repository (falls verfügbar): Bietet eine vereinheitlichte Schnittstelle zum Zugriff auf mehrere (Standard- oder Remote-) Repositories über einen einzigen Endpunkt, was die Konfiguration auf der Clientseite und den Zugriff auf Artefakte, die über verschiedene Repositories verteilt sind, vereinfacht.
Für ein virtuelles Repository müssen Sie Repositorien auswählen und ihnen eine Priorität geben (das Repository mit der höchsten Priorität wird verwendet).
Sie können Remote- und Standard- Repositories in einem virtuellen Repository mischen, wenn die Priorität des Remote- Repositories größer als die des Standard-Repositories ist, werden Pakete aus dem Remote-Repository (z. B. PyPi) verwendet. Dies könnte zu einer Abhängigkeitsverwirrung führen.
Beachten Sie, dass es in der Remote-Version von Docker möglich ist, einen Benutzernamen und ein Token anzugeben, um auf Docker Hub zuzugreifen. Das Token wird dann im Secret Manager gespeichert.
Verschlüsselung
Wie erwartet wird standardmäßig ein von Google verwalteter Schlüssel verwendet, aber es kann ein kundenverwalteter Schlüssel angegeben werden (CMEK).
Bereinigungspolitiken
Artefakte löschen: Artefakte werden gemäß den Kriterien der Bereinigungspolitik gelöscht.
Trockenlauf: (Standard) Artefakte werden nicht gelöscht. Bereinigungspolitiken werden ausgewertet und Testlöschereignisse an das Cloud Audit Logging gesendet.
Vulnerability Scanning
Es ist möglich, den Vulnerability Scanner zu aktivieren, der nach Schwachstellen in Container-Images sucht.
Enumeration
Privilege Escalation
Unauthenticated Access
Post-Exploitation
Persistence
Last updated