Questi contenuti sono stati aggiornati a maggio 2024 e rappresentano lo status quo al momento della loro redazione. I criteri e i sistemi di sicurezza di Google potranno variare in futuro, in virtù del costante miglioramento della protezione per i nostri clienti.
Questo documento descrive come utilizziamo le revisioni del codice, l'infrastruttura di sicurezza e un controllo di applicazione chiamato Autorizzazione binaria per Borg (BAB) per contribuire a proteggere la catena di approvvigionamento del software di Google dai rischi provenienti da personale interno. BAB contribuisce a ridurre i rischi provenienti da personale interno perché garantisce che il software di produzione venga esaminato e approvato prima di essere implementato, in particolare quando il nostro codice può accedere a dati sensibili. BAB si applica a tutti i servizi in esecuzione su Borg. Dalla pubblicazione originale di questo documento, abbiamo incluso i concetti chiave del BAB in una specifica aperta chiamata Supply-chain Levels for Software Artifacts (SLSA).
Questo documento fa parte di una serie di documenti tecnici che descrivono alcuni progetti sviluppati dal team di sicurezza di Google per contribuire a migliorare la sicurezza, tra cui BeyondCorp e BeyondProd. Per una panoramica della sicurezza della nostra infrastruttura, consulta la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
Introduzione
I rischi provenienti da personale interno rappresentano una minaccia alla sicurezza dei dati utente, che possono includere dati sull'impiego, dati finanziari o altri dati aziendali o proprietari. Il rischio di insider è la possibilità che un dipendente utilizzi le proprie conoscenze dell'organizzazione o l'accesso per compiere atti dannosi oppure che un malintenzionato esterno utilizzi le credenziali compromesse di un dipendente per fare lo stesso.
Per ridurre al minimo il rischio proveniente da personale interno all'interno della nostra catena di approvvigionamento software, utilizziamo BAB. BAB è un controllo dell'applicazione forzata interno che si verifica quando viene eseguito il deployment del software. BAB garantisce che i deployment di codice e configurazione rispettino determinati standard minimi e supportino l'uniformità nei nostri sistemi di produzione.
Contribuiamo a proteggere i dati utente all'interno dei nostri sistemi di produzione limitando l'accesso unilaterale da parte dei nostri dipendenti. Il BAB contribuisce ad assicurare che i dipendenti, mentre agiti per fini propri, non possano accedere direttamente o indirettamente ai dati utente o influire in altro modo su di essi senza un'autorizzazione e una giustificazione adeguata. Il BAB e i relativi controlli ci aiutano a applicare il privilegio minimo, il che migliora la nostra postura di sicurezza indipendentemente da un attore di minacce specifico. In altre parole, il BAB limita l'accesso unilaterale a prescindere dall'intento malevolo o meno dell'autore, dall'eventuale compromissione del suo account o dall'errata concessione dell'accesso.
Vantaggi del BAB
L'adozione di BAB e di un modello di deployment containerizzato offre numerosi vantaggi di sicurezza all'infrastruttura di Google. I vantaggi includono:
- BAB aiuta a ridurre i rischi complessivi provenienti da personale interno:BAB richiede che il codice soddisfi determinati standard e pratiche di gestione dei cambiamenti prima di poter accedere ai dati utente. Questo requisito riduce la possibilità che un dipendente agisca per propri fini (o un account dipendente compromesso) ottenga accesso ai dati utente programmaticamente.
- BAB supporta l'uniformità dei sistemi di produzione:utilizzando i sistemi containerizzati e verificandone i requisiti BAB prima del deployment, i nostri sistemi diventano più facili da eseguire il debug, più affidabili e hanno processi di gestione dei cambiamenti ben definiti. I requisiti BAB offrono un linguaggio comune per i requisiti dei sistemi di produzione.
- BAB determina il linguaggio comune per la protezione dei dati:BAB traccia la conformità tra i sistemi di Google. I dati relativi a questa conformità vengono pubblicati internamente e sono disponibili per altri team. La pubblicazione dei dati BAB consente ai team di utilizzare una terminologia comune nelle loro comunicazioni relative alla protezione dell'accesso ai dati. Questo linguaggio comune riduce la necessità di chiarimenti reciproci durante il lavoro sui dati che coinvolge più team.
- BAB consente il monitoraggio programmatico dei requisiti di conformità:semplifica quelle che in precedenza erano attività di conformità manuali. Alcune procedure in Google richiedono controlli più rigidi sul trattamento dei dati. Ad esempio, i nostri sistemi per i report finanziari devono essere conformi al Sarbanes-Oxley Act (SOX). Prima di BAB, avevamo un sistema che agevolava l'esecuzione manuale delle verifiche per garantire la conformità. Con l'introduzione di BAB, molti di questi controlli sono stati automatizzati in base ai criteri BAB per i servizi. L'automazione di questi controlli ha permesso al team per la conformità di aumentare sia l'ambito dei servizi coperti, sia l'adozione di controlli adeguati su questi servizi.
BAB fa parte del più ampio framework BeyondProd che utilizziamo per ridurre i rischi provenienti da personale interno.
Il nostro processo di sviluppo e produzione
Per impostazione predefinita, il processo di sviluppo e produzione di Google include quattro passaggi obbligatori: revisione del codice, build verificabili, deployment containerizzato e identità basata sui servizi. Le sezioni seguenti descrivono questi passaggi in modo più dettagliato.
Passaggio 1: revisione del codice
La maggior parte del nostro codice sorgente è archiviata in un repository monolitico centrale, e richiede la revisione e l'approvazione da parte di almeno un altro ingegnere oltre all'autore. Un codebase monolitico consente l'applicazione di un singolo punto di passaggio obbligato per le revisioni del codice.
Come minimo, la nostra procedura di revisione del codice richiede che i proprietari di un sistema debbano approvare le modifiche al codice di quel sistema.
Quando importiamo modifiche da codice di terze parti o open source, verifichiamo che la modifica sia appropriata (ad esempio, la versione più recente). Tuttavia, spesso non applichiamo gli stessi controlli di revisione per ogni modifica apportata da sviluppatori esterni al codice di terze parti o open source che utilizziamo.
Passaggio 2: build verificabili
Il nostro sistema di build è simile a Bazel, che genera e compila il codice sorgente per creare un programma binario per il deployment. Il nostro sistema di compilazione viene eseguito in un ambiente isolato e bloccato separato dai dipendenti che eseguono le build. Per ogni build, il sistema genera la provenienza generata dalle build verificabili . Questa provenienza è un certificato firmato che descrive le dipendenza e le sorgenti utilizzate per la build, gli hash crittografici di eventuali programmi binari o altri artefatti della build e i parametri completi della build. Questa provenienza consente quanto segue:
- La possibilità di risalire da un programma binario al codice sorgente utilizzato per crearlo. Per estensione, la provenienza può anche tracciare il processo di creazione e invio del codice sorgente descritto.
- La possibilità di verificare che il programma binario non sia stato modificato, in quanto eventuali modifiche al file comprometterebbero automaticamente la validità della firma.
Poiché le azioni di build possono essere codice arbitrario, il nostro sistema di compilazione è stato rafforzato per l'architettura multi-tenancy. In altri termini, il nostro sistema di compilazione è progettato per impedire che una build ne influenzi altre. Il sistema impedisce alle build di apportare modifiche in grado di compromettere l'integrità dell'origine della build o del sistema stesso. Una volta completata la build, il deployment della modifica viene eseguito tramite Borg.
Passaggio 3: deployment in contenitori
Dopo che il sistema di compilazione ha creato il file binario, questo viene pacchettizzato in un'immagine container e implementato come job Borg nel nostro sistema di orchestrazione dei cluster, Borg. Eseguiamo centinaia di migliaia di job di numerose applicazioni, tra diversi cluster, ciascuno anche con decine di migliaia di macchine. Nonostante la sua vasta scala, il nostro ambiente di produzione è abbastanza omogeneo. Di conseguenza, i touchpoint per l'accesso ai dati utente possono essere controllati e sottoposti ad audit più facilmente.
I container offrono notevoli vantaggi in termini di sicurezza. I container sono destinati all'utilizzo immutabile, con frequenti deployment da una rigenerazione completa dell'immagine. La containerizzazione ci consente di esaminare una modifica al codice nel contesto e offre un singolo punto di passaggio obbligato per le modifiche implementate nella nostra infrastruttura.
La configurazione di un job Borg specifica i requisiti per il deployment del job: le immagini container, i parametri di runtime, gli argomenti e i flag. Borg programma il job tenendo conto dei vincoli, della priorità, della quota e di qualsiasi altro requisito elencato nella configurazione. Dopo il deployment, il job Borg può interagire con altri job in produzione.
Passaggio 4: identità basata sui servizi
Un job Borg viene eseguito come identità di servizio. Questa identità viene utilizzata per accedere ai datastore o ai metodi di chiamata di procedura remota (RPC) di altri servizi. Più job potrebbero essere eseguiti con la stessa identità. Solo i dipendenti incaricati di gestire il servizio (in genere SRE (Site Reliability Engineer)) possono implementare o modificare i job con una determinata identità.
Quando Borg avvia un job, esegue il provisioning delle relative credenziali crittografiche. Il job utilizza queste credenziali per provare la sua identità durante l'esecuzione di richieste di altri servizi tramite Application Layer Transport Security (ALTS). Per poter accedere a determinati dati o ad altri servizi, l'identità di un servizio deve avere le autorizzazioni necessarie.
I nostri criteri richiedono la protezione BAB per le identità di servizio che hanno accesso ai dati utente e ad altre informazioni sensibili. I job di sviluppo e garanzia di qualità che non hanno accesso a dati sensibili possono essere eseguiti con meno controlli.
Come funziona BAB
BAB si integra con Borg per garantire che solo i job autorizzati possano essere eseguiti con l'identità di ciascun servizio. BAB crea anche un audit trail del codice e della configurazione utilizzati nei job abilitati da BAB per consentire il monitoraggio e la risposta agli incidenti.
BAB è progettato per garantire che tutta la configurazione e il software di produzione vengano esaminati, sottoposti a check-in, compilati in modo verificabile e autorizzati, in particolare quando il codice può accedere ai dati utente.
Criteri specifici per il servizio
Quando i proprietari del servizio eseguono l'onboarding del servizio in Borg, creano un criterio BAB che definisce i requisiti di sicurezza per il servizio. Queste norme sono chiamate norme specifiche per il servizio. La definizione o la modifica di un criterio è a sua volta una modifica al codice che deve essere esaminata.
Il criterio specifico del servizio definisce il codice e la configurazione che possono essere eseguiti come identità del servizio, nonché le proprietà richieste di questo codice e di questa configurazione. Tutti i job in esecuzione come identità di servizio devono soddisfare il criterio specifico del servizio.
Tutti i servizi Borg di Google devono configurare un criterio specifico per il servizio.
Per impostazione predefinita, questa pratica impone i seguenti requisiti:
- Il codice deve essere verificabile: Possiamo risalire all'immagine del contenitore alle sue origini leggibili da persone tramite la provenienza generata dalle build verificabili. Un piano di conservazione mantiene le sorgenti leggibili del codice per almeno 18 mesi, anche se il codice non viene inviato.
- Il codice deve essere inviato: Il codice viene compilato da una posizione specificata e definita nel nostro repository di codice sorgente. L'invio generalmente implica che il codice sia stato sottoposto a una revisione.
- Le configurazioni devono essere inviate: Le configurazioni fornite durante il deployment passano attraverso lo stesso processo di revisione e invio del codice normale. Di conseguenza, i valori, gli argomenti e i parametri dei flag della riga di comando non possono essere modificati senza revisione.
I servizi che non hanno accesso a dati sensibili o, in rare circostanze, i servizi che dispongono di un'eccezione valida e approvata, potrebbero avere un criterio più permissivo, ad esempio uno che richiede solo la verificabilità del codice o addirittura uno che disattiva completamente il BAB.
I sistemi e i componenti che applicano BAB sono strettamente controllati utilizzando requisiti automatici rigorosi e controlli manuali aggiuntivi.
Modalità di applicazione
BAB utilizza due modalità di applicazione per garantire che i job rispettino le norme specifiche del servizio:
- Applicazione forzata al momento del deployment, che impedisce il deployment dei job non conformi.
- Convalida continua, che monitora e genera avvisi sui job non conformi che sono stati dipiamented.
Inoltre, in caso di emergenza, le procedure di risposta di emergenza possono bypassare l'applicazione forzata al momento del deployment.
Modalità di applicazione forzata in fase di deployment
Borg Prime è il controller centralizzato di Borg, che funge da autorità di certificazione per ALTS. Quando viene inviato un nuovo job, Borg Prime consulta BAB per verificare che il job soddisfi i requisiti dei criteri specifici del servizio prima di concedere il certificato ALTS al job. Questo controllo funge da controller di ammissione: Borg avvia il job solo se soddisfa il criterio specifico del servizio. Questo controllo viene eseguito anche se il dipendente o il servizio che effettua la richiesta di dispiegamento è autorizzato.
In rari casi, i servizi possono disattivare l'applicazione forzata al momento del deployment con una giustificazione adeguata.
Modalità di verifica continua
Una volta implementato, un job viene sottoposto a verifica continua per tutta la sua durata, indipendentemente dalla modalità di applicazione forzata in fase di deployment. Un processo BAB viene eseguito almeno una volta al giorno per verificare che i job avviati (e potenzialmente ancora in esecuzione) siano conformi agli eventuali aggiornamenti dei rispettivi criteri. Ad esempio, la modalità di verifica continua ricerca costantemente job in esecuzione con criteri obsoleti o che sono stati implementati utilizzando procedure di risposta di emergenza. Se viene rilevato un job che non è conforme alle norme più recenti, BAB invia una notifica ai proprietari del servizio in modo che possano mitigare il rischio.
Procedure di risposta di emergenza
Quando si verifica un incidente o un guasto, la nostra prima priorità è ripristinare il servizio interessato il prima possibile. In una situazione di emergenza, potrebbe essere necessario eseguire codice che non è stato esaminato o compilato in modo verificabile. Di conseguenza, la modalità di applicazione forzata può essere ignorata tramite un flag di risposta di emergenza. Le procedure di risposta di emergenza fungono anche da backup in caso di errore del BAB che altrimenti bloccherebbe un deployment. Quando uno sviluppatore esegue il deployment di un job tramite la procedura di risposta di emergenza, deve inviare una motivazione come parte della richiesta.
Durante una risposta di emergenza, BAB registra i dettagli del job Borg associato e invia una notifica sia al team di sicurezza centralizzato di Google sia al team proprietario dell'identità del servizio. La voce di log include un riferimento a uno snapshot del codice di cui è stato eseguito il deployment e la motivazione fornita dall'utente. Le procedure di risposta di emergenza devono essere utilizzate solo come ultima possibilità.
Estensione di BAB ad altri ambienti
Inizialmente, BAB supportava solo la protezione dei job Borg e richiedeva che il software fosse sviluppato utilizzando la pipeline di controllo del codice sorgente, compilazione e pacchettistica tradizionale di Google. Ora BAB ha aggiunto il supporto per la protezione di altri ambienti di distribuzione e di installazione del software e per sistemi di controllo dell'origine, di compilazione e di imballaggio alternativi. I dettagli di implementazione di questi vari ambienti differiscono, ma i vantaggi del BAB rimangono invariati.
Esistono alcuni casi che non si prestano bene alle revisioni del codice da parte di persone fisiche prima del deployment, in particolare lo sviluppo iterativo del codice di machine learning e l'analisi dei dati ad alta frequenza. In questi casi, disponiamo di controlli alternativi che compensano la revisione da parte di persone fisiche.
Adozione di controlli simili nella propria organizzazione
Questa sezione descrive le best practice che abbiamo appreso durante l'implementazione di BAB in modo che tu possa adottare controlli simili nella tua organizzazione.
Crea una pipeline CI/CD containerizzata e omogenea
L'adozione di BAB è stata semplificata perché la maggior parte dei team utilizzava un unico sistema di controllo del codice sorgente, un processo di revisione del codice, un sistema di compilazione e un sistema di deployment. Le revisioni del codice facevano già parte della nostra cultura, quindi abbiamo potuto apportare modifiche senza apportare modifiche significative visibili agli utenti. Per adottare il BAB, ci siamo concentrati su revisioni del codice, build verificabili, deployment containerizzati e identità basate sui servizi per il controllo dell'accesso. Questo approccio ha semplificato l'adozione di BAB e ha rafforzato le garanzie che una soluzione come BAB è in grado di fornire.
Il nostro uso diffuso di microservizi e identità basate su servizi (come gli account di servizio), anziché di identità basate su host (come gli indirizzi IP), ci consente di creare un controllo granulare sul software a cui è consentito eseguire ciascun servizio.
Se la tua organizzazione non è in grado di adottare direttamente un'identità di servizio, come passaggio intermedio potresti provare a proteggere i token di identità utilizzando altre misure.
Determina gli obiettivi e definisci i criteri in base ai requisiti
Realizza il processo di release basato su criteri un passo alla volta. Potrebbe essere necessario implementare alcune modifiche prima di altre nella pipeline CI/CD. Ad esempio, potrebbe essere necessario avviare revisioni del codice formali prima di poterne richiedere l'applicazione forzata in fase di deployment.
Uno dei motivi principali per l'adozione di un processo di release basato su criteri è la conformità. Se è possibile codificare almeno alcuni dei requisiti di conformità in un criterio, questo può facilitare l'automazione dei test e assicurare che siano sempre attivi. Inizia con un set di requisiti di base e codifica man mano i requisiti più avanzati.
Applica i criteri fin dalle prime fasi dello sviluppo
È difficile definire criteri esaurienti su un software senza prima sapere dove verrà eseguito e a quali dati avrà accesso. Pertanto, l'applicazione forzata dei criteri specifici del servizio viene eseguita durante il deployment del codice e l'accesso ai dati e non in fase di compilazione. Un criterio viene definito in termini di identità di runtime, quindi lo stesso codice potrebbe essere eseguito in ambienti diversi ed essere soggetto a criteri diversi.
BAB viene utilizzato in aggiunta ad altri meccanismi di accesso per limitare l'accesso ai dati utente. I proprietari dei servizi possono garantire ulteriormente che ai dati possa accedere solo un job che soddisfi particolari requisiti BAB.
Elenca gli agenti dei cambiamenti nei vari team
Quando abbiamo reso obbligatorio il deployment di BAB nell'intera organizzazione di Google, ciò che ha favorito maggiormente il nostro tasso di successo è stato trovare proprietari disposti a guidare il cambiamento in ciascun gruppo di prodotti. Abbiamo identificato un gruppo di proprietari di servizi che hanno riscontrato vantaggi immediati dall'applicazione e che erano disposti a fornire feedback. Abbiamo chiesto a questi proprietari di offrirsi come volontari prima di rendere obbligatoria qualsiasi modifica. Una volta ottenuto il loro aiuto, abbiamo definito un team formale per la gestione dei cambiamenti per monitorare i cambiamenti in corso. Quindi, abbiamo identificato i proprietari responsabili in ogni team di prodotto per l'implementazione delle modifiche.
Decidere come gestire il codice di terze parti
Se devi gestire il codice di terze parti, valuta come introdurre i requisiti previsti dalle norme nella base di codice di terze parti. Ad esempio, inizialmente potresti iniziare mantenendo un repository di tutto il codice di terze parti utilizzato. Ti consigliamo di esaminare regolarmente questo codice in base ai tuoi requisiti di sicurezza.
Per ulteriori informazioni sulla gestione del codice di terze parti, consulta Risultati condivisi nella creazione di una community open source più sicura.
Passaggi successivi
- Scopri di più su BeyondProd, che utilizziamo per creare un perimetro sicuro attorno ai nostri microservizi.
- Per adottare una pipeline CI/CD sicura, consulta Supply chain Levels for Software Artifacts (SLSA).