Binärautorisierung

Nur vertrauenswürdige Container in Google Kubernetes Engine bereitstellen

Bild Binärautorisierung

Die Binärautorisierung ist eine Sicherheitsstrategie, mit der zum Zeitpunkt der Bereitstellung garantiert wird, dass nur vertrauenswürdige Container-Images in Google Kubernetes Engine (GKE) bereitgestellt werden. Sie können dabei festlegen, dass die Images während des Entwicklungsprozesses von vertrauenswürdigen Stellen signiert werden, und dann bei der Bereitstellung die Signaturprüfung erzwingen. Damit haben Sie eine stärkere Kontrolle über die Containerumgebung und sorgen dafür, dass nur verifizierte Images in den Build- und Release-Prozess integriert werden.

Symbol "Standardisierte Containerfreigabepraktiken erzwingen"

Standardisierte Verfahren der Containerfreigabe erzwingen

Mit der Binärautorisierung haben DevOps-Teams die Gewissheit, dass nur explizit autorisierte Container-Images in GKE bereitgestellt werden. Da die Images vor der Bereitstellung verifiziert werden, ist das Risiko geringer, dass in Ihrer Umgebung ungewollter oder bösartiger Code ausgeführt wird.

Symbol "Einrichten von proaktiven Sicherheitsmaßnahmen"

Proaktive Sicherheitsmaßnahmen einrichten

Mithilfe der Binärautorisierung implementieren DevOps-Teams eine proaktive Containersicherheit, denn sie sorgt dafür, dass nur verifizierte Container in die Umgebung gelangen und dass die Container während der Laufzeit vertrauenswürdig bleiben.

Symbol "Native GCP-Integration"

Native GCP-Integration

Die Binärautorisierung ist in die GKE-Steuerungsebene integriert, wo sie die Bereitstellung von Images basierend auf den von Ihnen definierten Richtlinien zulässt oder blockiert. Dank der Einbindung von Cloud Build und Container Registry Vulnerability Scanning können Sie außerdem Steuerelemente zur Bereitstellungszeit aktivieren, die auf Build-Informationen und den gefundenen Sicherheitslücken basieren.

Vorteile der Binärautorisierung

Richtlinien erstellen

Sie können Richtlinien auf Projekt- und Clusterebene definieren, die auf den Sicherheitsanforderungen Ihrer Organisation basieren. Für verschiedene Umgebungen (z. B. Produktion und Test) können unterschiedliche Richtlinien und auch CI/CD-Einrichtungen erstellt werden.

Richtlinien überprüfen und erzwingen

Sie können Richtlinien erzwingen, indem Sie mit der Binärautorisierung Signaturen verifizieren, die von Tools zum Scannen auf Sicherheitslücken wie Container Registry Vulnerability Scanning oder Drittanbieterlösungen stammen oder von Ihnen generiert wurden.

Integration von Cloud Security Command Center

Im Cloud Security Command Center (CSCC) können Sie die gefundenen Richtlinienverletzungen im Rahmen der zentralen Sicherheitskonsole ansehen. Ereignisse wie Bereitstellungsversuche, die aufgrund von Richtlinienbeschränkungen fehlgeschlagen sind, oder Aktivitäten im Zusammenhang mit Ausnahmezugriff-Workflows können genauer untersucht werden.

Audit-Logging

Mithilfe von Cloud-Audit-Logging werden Richtlinienverstöße und fehlgeschlagene Bereitstellungsversuche aufgezeichnet.

Cloud KMS-Support

Images können für die Signaturprüfung mit einem asymmetrischen Schlüssel signiert werden, den Sie im Cloud Key Management Service verwalten.

Open-Source-Support für Kubernetes

Verwenden Sie das Open-Source-Tool Kritis, um die Signaturprüfung sowohl für lokale Kubernetes- als auch für Cloud GKE-Bereitstellungen zu erzwingen.

Unterstützung für Probelauf

Sie haben die Möglichkeit, Richtlinienänderungen vor der Bereitstellung in einem Modus zu testen, in dem keine Richtlinien erzwungen werden. In Cloud-Audit-Logging können Sie die Ergebnisse ansehen, auch die Bereitstellungen, die blockiert werden würden.

Unterstützung für Ausnahmezugriff

In Notfällen können Richtlinien mit dem Ausnahmezugriff-Workflow umgangen werden, damit Sie nicht durch Reaktionen auf Vorfälle behindert werden. Alle Ausnahmezugriffvorfälle werden in Cloud-Audit-Logging aufgezeichnet.

Integration mit Drittanbieterlösungen

Integrieren Sie die Binärautorisierung mit führenden Partnern für Containersicherheit und CI/CD wie CloudBees, Twistlock und Terraform.

Ressourcen und Integrationen

Anleitungen ansehen, Schnellstarts ausprobieren, Rezensionen lesen

Google Cloud

Erste Schritte

Binärautorisierung

Nur vertrauenswürdige Container in Google Kubernetes Engine bereitstellen

Feedback geben zu...

Binary Authorization