Autorización binaria

Implementa solo contenedores de confianza en Google Kubernetes Engine.
Descripción general

Descripción general

La autorización binaria es un control de seguridad de tiempo de implementación que garantiza que solo se implementen imágenes de contenedor confiables en Google Kubernetes Engine (GKE). Con la autorización binaria, puedes solicitar que autoridades confiables firmen las imágenes durante el proceso de desarrollo y, luego, aplicar la validación de firma en el momento de la implementación. Cuando aplicas la validación, puedes tener un control mayor sobre tu entorno de contenedor y asegurarte de que solo las imágenes verificadas se integren en el proceso de compilación y actualización.

Aplica prácticas de actualización de contenedor estandarizadas

Mediante la autorización binaria, los equipos de DevOps pueden asegurarse de que solo se implementen en GKE las imágenes de contenedor autorizadas de manera explícita. Si verificas las imágenes antes de la implementación, puedes reducir el riesgo de que se ejecuten códigos no intencionados o maliciosos en tu entorno.

Implementa medidas de seguridad proactivas

La autorización binaria ayuda a los equipos de DevOps a implementar una postura de seguridad de contenedor proactiva, ya que garantiza que solo se admitan en el entorno los contenedores verificados y que estos se mantengan confiables en el entorno de ejecución.

Integración nativa de GCP

La autorización binaria se integra al plano de control de GKE para permitir o bloquear la implementación de imágenes según las políticas que definas. También puedes aprovechar las integraciones en Cloud Build y el Análisis de vulnerabilidades de Container Registry para habilitar los controles de tiempo de implementación basados en información de compilación y hallazgos de vulnerabilidades.

Características

Creación de políticas

Define políticas a nivel de proyecto y de clúster según los requisitos de seguridad de tu organización. Crea políticas diferentes para entornos múltiples (p. ej., producción y prueba) además de los parámetros de configuración de IC/EC.

Verificación y aplicación de políticas

Aplica las políticas mediante la autorización binaria a fin de verificar las firmas con las herramientas de análisis de vulnerabilidades como Análisis de vulnerabilidades de Container Registry, soluciones de terceros o las firmas de imágenes que generes.

Integración de Cloud Security Command Center

Consulta los resultados de los incumplimientos de políticas como parte del panel único de seguridad en Cloud Security Command Center (CSCC). Explora eventos como los intentos de implementación fallidos debido a las restricciones de las políticas o actividades de flujo de trabajo de emergencia.

Audit Logging

Mantén un registro de todos los incumplimientos de políticas y los intentos de implementación fallidos con Cloud Audit Logging.

Asistencia de Cloud KMS

Usa una clave asimétrica que administres en Cloud Key Management Service para firmar imágenes a fin de realizar la verificación de firma.

Compatibilidad con código abierto para Kubernetes

Usa la herramienta de código abierto Kritis para aplicar la verificación de firma en las implementaciones de Kubernetes locales y de GKE en la nube.

Compatibilidad con la ejecución de prueba

Prueba los cambios en tu política en el modo no aplicable antes de implementarlos. Consulta los resultados, incluidas las implementaciones que se bloquearían, en Cloud Audit Logging.

Compatibilidad con flujos de trabajo de emergencia

Omite la política en una emergencia mediante el flujo de trabajo de emergencia para asegurarte de poder responder ante un incidente. Todos los incidentes que requieren flujos de trabajo de emergencia se registran en Cloud Audit Logging.

Integración con soluciones de terceros

Integra la autorización binaria a los socios principales de seguridad de contenedores y de IC/EC, como CloudBees, Twistlock y Terraform.

Integraciones

Recursos

Precios

La autorización binaria es una característica de la plataforma Anthos y su uso está incluido en la suscripción a Anthos. La autorización binaria usa Container Analysis para almacenar metadatos que se relacionan con la autorización de la implementación de imágenes de contenedores. La suscripción a Anthos incluye el uso ilimitado de Container Analysis y la API de Container Analysis.

Obtén más información sobre los precios de la autorización binaria

Google Cloud

Comienza ahora

Aprende y crea

¿Acabas de comenzar a usar GCP? Empieza a usar cualquier producto sin costo con un crédito de $300.

¿Necesitas más ayuda?

Nuestros expertos te ayudarán a crear la solución adecuada o a encontrar al socio más conveniente según tus necesidades.