Binary Authorization
개요
표준화된 컨테이너 배포 방침 적용
Binary Authorization을 사용하면 DevOps팀에서 명시적으로 승인된 컨테이너 이미지만 배포되도록 할 수 있습니다. 배포 전에 이미지를 확인하면 운영 환경에서 의도하지 않은 코드 또는 악의적인 코드가 실행될 위험을 낮출 수 있습니다.
사전 보안 조치 마련
Binary Authorization을 활용하면 DevOps팀에서 확인된 컨테이너만 운영 환경으로 유입되고 런타임 중에는 신뢰할 수 있는 상태를 유지하도록 하여 선제적으로 컨테이너 보안 상태를 구현할 수 있습니다.
기본 통합
Binary Authorization은 GKE 및 Cloud Run 제어 영역과 통합되어 정의된 정책에 따라 이미지 배포를 허용하거나 차단합니다. Cloud Build 및 Container Registry Vulnerability Scanning과 통합해 빌드 정보 및 취약점 발견 항목에 따른 배포 시점 제어를 구현할 수도 있습니다.
특성
정책 생성
조직의 보안 요구사항에 따라 정책을 프로젝트 및 클러스터 수준에서 정의할 수 있습니다. CI/CD 설정 외에도 환경(예: 프로덕션 및 테스트)마다 다른 정책을 만들 수 있습니다.
정책 인증 및 시행
Binary Authorization을 사용해 Container Registry Vulnerability Scanning 등의 취약점 스캔 도구, 타사 솔루션 또는 자체적으로 생성한 이미지 서명으로 서명을 검증하는 정책을 시행할 수 있습니다.
Cloud Security Command Center 통합
Security Command Center에서 정책 위반 결과를 비롯해 모든 보안 정보를 확인할 수 있습니다. 정책 제한으로 인해 실패한 배포 시도 또는 Break Glass 워크플로 활동 등의 이벤트를 살펴보세요.
감사 로깅
Cloud 감사 로그를 사용해 모든 정책 위반 및 실패한 배포 시도 기록을 유지할 수 있습니다.
Cloud KMS 지원
서명 검증에 활용할 목적으로 Cloud Key Management Service에서 관리하는 비대칭 키를 사용해 이미지를 서명할 수 있습니다.
Kubernetes용 오픈소스 지원
오픈소스 Kritis 도구를 사용해 온프레미스 Kubernetes 및 클라우드 GKE 배포 환경 모두에서 서명 검증을 시행할 수 있습니다.
테스트 실행 지원
배포하기 전에 비강제 모드에서 정책 변경사항을 테스트할 수 있습니다. Cloud 감사 로그에서 차단될 배포를 포함한 결과를 확인하세요.
Break Glass 지원
신속하게 이슈에 대응할 수 있도록 응급 상황 발생 시 Break Glass 워크플로를 사용해 정책을 우회합니다. 모든 Break Glass 이슈는 Cloud 감사 로그에 기록됩니다.
타사 솔루션 통합
Binary Authorization은 CloudBees, Twistlock(Palo Alto Networks), Terraform 등 최고의 컨테이너 보안 및 CI/CD 파트너와 통합할 수 있습니다.
통합
리소스
가격 책정
Binary Authorization의 가격 책정 방법에 대해 자세히 알아보려면 가격 책정 페이지를 참조하세요.
$300의 무료 크레딧과 20여 개의 항상 무료 제품으로 Google Cloud에서 빌드하세요.
다음 프로젝트를 시작하고 대화형 튜토리얼을 살펴보며 계정을 관리하세요.