Autorisation binaire

Déployez uniquement des conteneurs fiables sur Google Kubernetes Engine.

Image Autorisation binaire

L'autorisation binaire est un contrôle de sécurité intervenant au moment du déploiement qui garantit que seules des images de conteneur fiables sont déployées sur Google Kubernetes Engine (GKE). Avec l'autorisation binaire, vous pouvez exiger que toutes les images soient signées par des autorités de confiance lors du processus de développement, puis appliquer la validation de signature lors du déploiement. Grâce à cette validation, vous pouvez exercer un contrôle plus strict sur votre environnement de conteneurs en vous assurant que seules les images validées sont intégrées au processus de compilation et de déploiement.

Icône Appliquer la standardisation

Appliquez des pratiques standardisées de déploiement de conteneurs

Grâce à l’autorisation binaire, les équipes DevOps peuvent avoir la garantie que seules les images de conteneur explicitement autorisées seront déployées sur GKE. En validant les images avant le déploiement, vous pouvez réduire le risque d'exécution de code non intentionnel ou malveillant dans votre environnement.

Icône Mettre en place une sécurité proactive

Mettez en place des mesures de sécurité proactives

L'autorisation binaire aide les équipes DevOps à adopter une démarche proactive en matière de sécurité des conteneurs, en veillant à ce que seuls les conteneurs validés soient admis dans l'environnement et à ce qu'ils demeurent sécurisés pendant l'exécution.

Icône GCP natif

Intégration native à GCP

L'autorisation binaire s'intègre au plan de contrôle GKE pour autoriser ou bloquer le déploiement d'images en fonction des stratégies que vous définissez. Vous pouvez également tirer parti de l'intégration avec Cloud Build et avec l'analyse des failles de Container Registry pour mettre en place des contrôles au moment du déploiement sur la base d'informations de compilation et d'identification de failles.

Fonctionnalités de l'autorisation binaire

Création de stratégies

Définissez les stratégies au niveau du projet ou du cluster suivant les exigences de sécurité de votre organisation. Créez des stratégies distinctes pour vos différents environnements (par exemple, production et test) en plus des configurations CI/CD.

Validation et application des stratégies

Appliquez les stratégies à l'aide de l'autorisation binaire pour valider les signatures d'outils d'analyse des failles tels que l'analyse des failles de Container Registry, de solutions tierces ou les signatures d'images que vous générez.

Intégration à Cloud Security Command Center

Identifiez les cas de non-respect des règles dans le volet de sécurité centralisé de Cloud Security Command Center (CSCC). Explorez les événements tels que les tentatives de déploiement ayant échoué en raison d'une contrainte de stratégie ou les activités de workflow en mode "bris de glace".

Journaux d'audit

Enregistrez tous les cas de non-respect des règles et toutes les tentatives de déploiement ayant échoué grâce à Cloud Audit Logging.

Compatibilité avec Cloud KMS

Utilisez une clé asymétrique gérée dans Cloud Key Management Service pour signer vos images en vue de la validation de signature.

Compatibilité Open Source pour Kubernetes

Tirez parti de l'outil Open Source Kritis pour appliquer la validation de signature aussi bien à vos déploiements Kubernetes sur site qu'aux déploiements Cloud GKE.

Compatibilité avec les simulations

Testez les modifications apportées à votre stratégie avant le déploiement, dans le cadre d'une simulation sans application. Consultez les résultats, y compris les déploiements qui se trouveraient éventuellement bloqués, dans Cloud Audit Logging

Compatibilité avec le mode "bris de glace"

En cas d'urgence, contournez les stratégies à l'aide du workflow en mode "bris de glace" afin d'être toujours en mesure de réagir aux incidents. Tous les incidents gérés dans ce mode sont enregistrés dans Cloud Audit Logging.

Intégration avec des solutions tierces

Intégrez l'autorisation binaire aux solutions des partenaires leaders du marché en matière de sécurité des conteneurs et de plates-formes CI/CD, comme par exemple CloudBees, Twistlock et Terraform.

Ressources et intégrations

Accédez à des tutoriels, guides de démarrage rapide et avis.

Google Cloud

Premiers pas

Autorisation binaire

Déployez uniquement des conteneurs fiables sur Google Kubernetes Engine.

Envoyer des commentaires concernant…

Binary Authorization