Autorización binaria

Despliega solo contenedores de confianza en Google Kubernetes Engine
Información general

Descripción general

La autorización binaria es un control de seguridad de tiempo de despliegue que garantiza que solo las imágenes de contenedor que sean de confianza se despliegan en Google Kubernetes Engine (GKE). Con la autorización binaria, puedes requerir que las imágenes estén firmadas por una autoridad de confianza durante el proceso de desarrollo, y aplicar la validación de la firma cuando las imágenes se desplieguen. Al hacer esto último, obtendrás un control más estricto de tu entorno de contenedores y te asegurarás de que solo las imágenes verificadas puedan incluirse en el proceso de compilación y lanzamiento.

Aplica prácticas estandarizadas de lanzamiento de contenedores

Gracias a la autorización binaria, los equipos de desarrollo pueden tener la certeza de que solo las imágenes de contenedor que se hayan autorizado expresamente se desplegarán en GKE. Al verificar las imágenes antes de desplegarlas, reducirás el riesgo de que se ejecute código no deseado o malicioso en tu entorno.

Implementa medidas de seguridad proactivas

La autorización binaria ayuda a los equipos de desarrollo a adoptar un enfoque de seguridad de contenedores proactivo, ya que garantiza que solo los contenedores verificados pueden acceder al entorno y que estos siguen siendo de confianza durante el tiempo de ejecución.

Integración con GCP nativa

La autorización binaria se integra con el plano de control de GKE para permitir o bloquear el despliegue de las imágenes en función de las políticas que definas. También puedes aprovechar las integraciones con Cloud Build y el análisis de vulnerabilidades de Container Registry para habilitar controles de tiempo de despliegue basados en la información de la versión y en los resultados de las vulnerabilidades.

Características

Creación de políticas

Define políticas a nivel de clúster y de proyecto según los requisitos de seguridad de tu organización. Crea distintas políticas para varios entornos (p. ej., de prueba o de producción), además de configuraciones de CI/CD.

Aplicación y verificación de políticas

Con la autorización binaria, podrás aplicar políticas para verificar las firmas de las herramientas de análisis de vulnerabilidades (como el análisis de vulnerabilidades de Container Registry), de las soluciones de terceros o de las propias firmas de las imágenes que generes.

Integración de Cloud Security Command Center

Accede a los resultados de las infracciones de las políticas de forma centralizada en Cloud Security Command Center (CSCC). Consulta diferentes eventos, como los intentos de despliegue fallidos debido a las restricciones de una política determinada, o las actividades de flujo de trabajo de acceso de emergencia.

Almacenamiento de registros de auditoría

Mantén un registro de todas las infracciones de políticas e intentos de despliegue fallidos con el registro de auditoría de Cloud.

Compatibilidad con Cloud KMS

Usa una clave asimétrica que hayas gestionado en Cloud Key Management Service para firmar imágenes y verificar las firmas.

Código abierto para Kubernetes

Usa la herramienta de código abierto Kritis para aplicar la verificación de las firmas, tanto en los despliegues de GKE en la nube como en los de Kubernetes on‑premise.

Compatibilidad con la ejecución de prueba

Prueba los cambios que hagas en tus políticas en un modo de ejecución de prueba antes del despliegue. Consulta los resultados, incluidos los despliegues que puedan bloquearse, en el registro de auditoría de Cloud.

Compatibilidad con los accesos de emergencia

Omite las políticas en caso de emergencia con el flujo de trabajo de acceso de emergencia. De esta forma, te asegurarás de que nada te impida responder al incidente. Todos los incidentes de acceso de emergencia se incluirán en el registro de auditoría de Cloud.

Integración con soluciones de terceros

Integra la autorización binaria con nuestros partners de seguridad de contenedores y de CI/CD líderes en el sector, como CloudBees, Twistlock o Terraform.

Integraciones

Recursos

Precios

La autorización binaria es una característica de la plataforma Anthos y su uso se incluye en la suscripción a Anthos. La autorización binaria utiliza Container Analysis para almacenar metadatos relacionados con la autorización del despliegue de imágenes de contenedor. Si tienes una suscripción a Anthos, puedes usar Container Analysis y la API de Container Analysis sin limitaciones.

Más información sobre los precios de la autorización binaria

Google Cloud

Empezar

Aprendizaje y desarrollo

¿Acabas de aterrizar en GCP? Empieza a usar cualquiera de los productos de la plataforma con un crédito gratuito de 300 USD.

¿Necesitas más ayuda?

Nuestros expertos te ayudarán a crear la solución adecuada o a encontrar el partner que mejor se ajuste a tus necesidades.

Enviar comentarios sobre...

Binary Authorization