Schutzschild aus der Cloud: Google bekämpft unsichere Software-Lieferketten

Auf der Hauskonferenz Cloud Next hat Google zwei neue Security Schwerpunkte verkündet: die Absicherung der Software-Supply-Chain und die von Kollaborationen.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Lesezeit: 3 Min.

Google will das Problem unsicherer Software-Lieferketten angehen: Das hat das Unternehmen bei der Konferenz Google Cloud Next angekündigt. Dabei soll das neue Tool-Paket Software Delivery Shield helfen und sich dem gesamten Prozess von der Entwicklung über die Auslieferung bis zum Betrieb von Software widmen. Außerdem würden Security-Bedenken Kollaborationen zwischen Unternehmen erschweren. Auch dieses Problem will Google mit einem neuen Werkzeug angehen.

Angriffe auf die Supply-Chain von Software werden immer mehr zum Problem: Berichte gehen von einer achtfachen Zunahme der Attacken in den letzten drei Jahren aus. Google möchte dieses Problem vor allem auf Seiten der Software-Anbieter lösen. Mit dem Software Delivery Shield will es das Unternehmen ermöglichen, möglichst sichere Cloud-Software bereitzustellen.

Das Tool-Paket richtet sich an Entwicklungs-, DevOps- und Security-Teams. Es besteht aus neuen Angeboten, aber auch aus Erweiterungen bekannter Google-Cloud-Produkte. Software Delivery Shield ist modular aufgebaut, sodass Anbieter von Software die Sicherheitstools auswählen können, die ihrer Meinung meisten Sicherheitsgewinn versprechen, so Google im Blogpost zur Ankündigung der neuen Software-Suite.

iX 10/2022: Was lauert in Ihrer Software?

Die Titelstrecke der aktuellen Ausgabe der iX widmet sich ebenfalls ausführlich dem Thema der Supply-Chain-Sicherheit. Artikel zeigen die derzeitigen Angriffs-Vektoren, erläutern die Vorteile von SBOM und erklären, was es für den sicheren Einsatz von Containern braucht.

Das Software Delivery Shield bringt Veränderungen in fünf Bereichen der Google Cloud: der Anwendungsentwicklung, dem Bereitstellen von Software, der Continuous Integration (CI) und Continuous Delivery (CD), den Entwicklungsumgebungen und den Richtlinien. Für die Entwicklung sieht Google dabei die neuen Cloud Workstations vor, eine vollständig vom Anbieter verwaltete Entwicklungsumgebung samt eingebauten Security-Features. Auch On-Premises-Entwickler will Google per Cloud Code unterstützen. Dort hält nun Source Protect Einzug, ein Tool, das in Echtzeit Rückmeldung zu Sicherheitseigenschaften des geschriebenen Codes, direkt in der individuellen IDE, liefern soll.

Für das Bereitstellen von Software hatte Google bereits im Mai einen Dienst namens Assured Open Source Software angekündigt. Hierbei handelt es sich um eine kuratierte Liste verifizierter, sicherer Java- und Python-Pakete. Gleichzeitig generiert der Dienst automatisch eine individuelle Software Bill of Materials (SBOM). Neue Security-Features in Cloud Build und Cloud Deploy, Googles CI und CD-Plattformen in der Cloud, sollen dort zu sichereren Lieferketten beitragen. Dazu zählen granulare IAM-Optionen (Identity Access Management), VPC Service Controls und sogenannte Approval Gates, also Schritte in der Pipeline, die eine händische Bewilligung benötigen. Sie sollen DevOps-Teams das Management des Build- und Deployment-Prozess erleichtern. Ebenfalls neue Security-Features spendiert Google seiner Kubernetes Engine GKE und Cloud Run. Diese sollen dabei helfen, Sicherheitsschwachstellen in Container-Clustern zu identifizieren.

Viele der angekündigten neuen Tools befinden sich derzeit in einer privaten Preview-Phase. Wer sie ausprobieren möchte, muss sich über ein Formular online bei Google anmelden.

Mit Confidential Space will Google Cloud die Zusammenarbeit zwischen Unternehmen sicherer machen und auch die Kollaboration an sensiblen Daten ermöglichen. Confidential Space ist Teil von Googles Confidential Computing Portfolio, zu dem auch das bereits 2020 vorgestellte Confidential Virtual Machines gehört. Mit dem neuen Tool sollen Firmen gemeinsame Datenanalyse und ML-Trainings durchführen können, ohne die zugrunde liegenden Daten preisgeben zu müssen. Technisch lässt Google Cloud die benötigten Workloads dafür in einer Trusted Execution Environment (TEE) laufen. Wann Confidential Space verfügbar sein wird, verrät auch Googles Blogpost zur Ankündigung noch nicht.

(jvo)