Binary Authorization

信頼できるコンテナのみを Kubernetes Engine にデプロイ。

Binary Authorization の画像

Binary Authorization は、Google Kubernetes Engine(GKE)に信頼できるコンテナ イメージのみがデプロイされることを保証するデプロイ時のセキュリティ管理サービスです。Binary Authorization を使用すると、開発プロセス時に、信頼できる機関によるイメージへの署名を必須にして、デプロイ時にその署名を検証する過程を導入できます。検証プロセスを適用することで、適切であると認められたイメージのみがビルドとリリースのプロセスに統合されるため、コンテナの環境をより厳密に制御できます。

標準の適用のアイコン

コンテナのリリース業務を標準化する

Binary Authorization を使用することで、DevOps チームが GKE にデプロイするコンテナ イメージは明示的に承認されたものであることが保証されるようになります。また、イメージをデプロイする前に検証することで、意図しないコードや悪意のあるコードが環境内で実行されるリスクを減らすことができます。

予防的なセキュリティの導入のアイコン

予防的なセキュリティ対策を導入する

Binary Authorization では、検証されたコンテナのみが環境への統合を認められ、それらのコンテナはランタイム中も信頼された状態を保てるため、DevOps チームは予防的なコンテナ セキュリティ体制を敷くことができます。

ネイティブ GCP のアイコン

ネイティブ GCP との統合

Binary Authorization は GKE コントロール プレーンと統合されており、定義されたポリシーに基づいてイメージのデプロイの許可やブロックを行います。Cloud Build および Container Registry 脆弱性スキャンとの統合を活用すれば、ビルド情報と発見された脆弱性を基にデプロイ時の管理を行うことができます。

Binary Authorization の機能

ポリシーの作成

組織のセキュリティ要件に基づいて、プロジェクト レベルおよびクラスタレベルでポリシーを定義できます。CI / CD の設定に加えて、複数の環境(本番環境とテスト環境など)に対しても個別のポリシーを作成できます。

ポリシーの検証と適用

Binary Authorization を使ってポリシーを適用して、Container Registry 脆弱性スキャンなどの脆弱性スキャンツールによる署名、サードパーティ製ソリューションによる署名、生成したイメージ署名を検証します。

Cloud Security Command Center の統合

ポリシーの検証結果は、一元化されたセキュリティ事項の一部として、Cloud Security Command Center(CSCC)に表示されます。ポリシー制限により失敗したデプロイや、ブレークグラス ワークフロー アクティビティなどのイベントの詳細情報を確認できます。

監査ログ

Cloud Audit Logging を使用して、すべてのポリシー違反と失敗したデプロイの記録を維持できます。

Cloud KMS のサポート

Cloud Key Management Service で管理している非対称鍵を使用して、署名検証用のイメージに署名できます。

Kubernetes のオープンソースのサポート

オープンソースの Kritis ツールを使用して、オンプレミス Kubernetes とクラウド GKE の両方のデプロイメントに署名検証を適用できます。

ドライランのサポート

デプロイの前に、ポリシーに加えた変更を非適用モードでテストできます。結果(ブロック対象のデプロイメントを含む)は、Cloud Audit Logging で確認してください。

ブレークグラスのサポート

緊急時には、ブレークグラス ワークフローを使ってポリシーの適用を回避して、インシデント対応に支障が生じないようにします。ブレークグラス インシデントはすべて Cloud Audit Logging に記録されます。

サードパーティ製ソリューションとの統合

Binary Authorization をコンテナ セキュリティや CI / CD の主要なパートナー(CloudBees、Twistlock、Terraform など)と統合できます。

リソースと統合

チュートリアルを試し、クイックスタートを開始し、レビューを詳しく見てみましょう。

Google Cloud

使ってみる

Binary Authorization

信頼できるコンテナのみを Kubernetes Engine にデプロイ。

フィードバックを送信...