Binary Authorization

信頼できるコンテナのみを Kubernetes Engine にデプロイ。
概要

概要

Binary Authorization は、信頼できるコンテナ イメージのみが Google Kubernetes Engine(GKE)にデプロイされることを保証する、デプロイ時のセキュリティ管理サービスです。Binary Authorization を使用すると、開発プロセス時に信頼できる機関によるイメージへの署名を必須にして、デプロイ時にその署名を検証できます。検証プロセスを適用することで、適切であると認められたイメージのみがビルドとリリースのプロセスに組み込まれるため、コンテナ環境をより厳格に管理できます。

コンテナのリリース業務を標準化する

Binary Authorization を使用することで、DevOps チームは、明示的に承認されたコンテナ イメージのみが GKE にデプロイされることを保証できます。また、イメージをデプロイする前に検証することで、意図しないコードや悪意のあるコードが環境内で実行されるリスクを軽減できます。

予防的なセキュリティ対策を導入する

Binary Authorization では、検証されたコンテナのみが環境への統合を認められ、ランタイム中もその信頼性が維持されるため、DevOps チームは予防的なコンテナ セキュリティ体制を敷くことができます。

ネイティブ GCP との統合

Binary Authorization は GKE コントロール プレーンと統合されており、定義されたポリシーに基づいてイメージのデプロイを許可またはブロックします。Cloud Build および Container Registry 脆弱性スキャンとの統合を活用すれば、ビルド情報と発見された脆弱性を基にデプロイ時の管理を行うことができます。

特長

ポリシーの作成

組織のセキュリティ要件に基づいて、プロジェクト レベルおよびクラスタレベルでポリシーを定義できます。CI / CD の設定に加えて、複数の環境(本番環境とテスト環境など)に対しても個別のポリシーを作成できます。

ポリシーの検証と適用

Binary Authorization を使用してポリシーを適用し、Container Registry 脆弱性スキャンなどの脆弱性スキャンツールによる署名、サードパーティ製ソリューションによる署名、お客様が生成したイメージ署名を検証します。

Cloud Security Command Center の統合

ポリシー違反の結果は、セキュリティ状況を一元的に可視化する Cloud Security Command Center(CSCC)に表示されます。ポリシー制限により失敗したデプロイやブレークグラス ワークフロー アクティビティなどのイベントの詳細を確認できます。

監査ロギング

Cloud Audit Logging を使用して、すべてのポリシー違反と失敗したデプロイの記録を維持できます。

Cloud KMS のサポート

署名検証のため、Cloud Key Management Service で管理している非対称鍵を使用してイメージに署名できます。

Kubernetes のオープンソースのサポート

オープンソースの Kritis ツールを使用して、オンプレミス Kubernetes とクラウド GKE デプロイメントの両方に署名検証を適用できます。

ドライランのサポート

デプロイの前に、ポリシーに加えた変更を非適用モードでテストできます。ブロックされるデプロイメントなど、ドライランの結果は Cloud Audit Logging で確認できます。

ブレークグラスのサポート

緊急時には、ブレークグラス ワークフローを使用してポリシーの適用を回避し、インシデント対応に支障が生じないようにします。ブレークグラス インシデントはすべて Cloud Audit Logging に記録されます。

サードパーティ製ソリューションとの統合

Binary Authorization をコンテナ セキュリティや CI / CD の主要なパートナー(CloudBees、Twistlock、Terraform など)と統合できます。

統合

リソース

料金

Binary Authorization は Anthos プラットフォームの機能であり、その使用は Anthos のサブスクリプションに含まれます。Binary Authorization は、コンテナ イメージのデプロイの承認に関するメタデータを保存するために Container Analysis を使用します。Anthos のサブスクリプションには Container Analysis と Container Analysis API の無制限利用も含まれます。

Binary Authorization の料金の詳細

Google Cloud

使ってみる

無料で体験

GCP を初めてご利用の場合、あらゆる GCP プロダクトを $300 相当の無料クレジットでお試しいただけます。

さらにサポートが必要な場合

Google のエキスパートが、適切なソリューションの構築やお客様のニーズに合ったパートナーの選定をお手伝いいたします。