Binary Authorization
概要
コンテナのリリース業務を標準化する
Binary Authorization を使用すると、DevOps チームは、明示的に承認されたコンテナ イメージのみがデプロイされることを保証できます。また、イメージをデプロイする前に検証することで、意図しないコードや悪意のあるコードが環境内で実行されるリスクを減らすことができます。
予防的なセキュリティ対策を導入する
Binary Authorization では、検証されたコンテナのみが環境への統合を認められ、ランタイム中もその信頼性が維持されるため、DevOps チームは予防的なコンテナ セキュリティ体制を敷くことができます。
ネイティブな統合
Binary Authorization は GKE および Cloud Run のコントロール プレーンと統合されており、定義されたポリシーに基づいてイメージのデプロイを許可またはブロックします。Cloud Build および Container Registry 脆弱性スキャンとの統合を活用すれば、ビルド情報と発見された脆弱性を基にデプロイ時の管理を行うことができます。
特長
ポリシーの作成
組織のセキュリティ要件に基づいて、プロジェクト レベルおよびクラスタレベルでポリシーを定義できます。CI / CD の設定に加えて、複数の環境(本番環境とテスト環境など)に対しても個別のポリシーを作成できます。
ポリシーの検証と適用
Binary Authorization を使ってポリシーを適用し、Container Registry 脆弱性スキャンなどの脆弱性スキャンツールによる署名、サードパーティ製ソリューションによる署名、お客様が生成したイメージ署名を検証します。
Cloud Security Command Center の統合
ポリシー違反の結果は、セキュリティ状況を一元的に可視化する Security Command Center に表示されます。ポリシー制限により失敗したデプロイや、ブレークグラス ワークフロー アクティビティなどのイベントの詳細を確認できます。
監査ロギング
Cloud Audit Logs を使用して、すべてのポリシー違反と失敗したデプロイの記録を維持できます。
Cloud KMS のサポート
署名検証のため、Cloud Key Management Service で管理している非対称鍵を使用してイメージに署名できます。
Kubernetes のオープンソースのサポート
オープンソースの Kritis ツールを使用して、オンプレミス Kubernetes とクラウド GKE デプロイメントの両方に署名検証を適用できます。
ドライランのサポート
デプロイの前に、ポリシーに加えた変更を非適用モードでテストできます。ブロックされるデプロイメントなど、ドライランの結果は Cloud Audit Logging で確認できます。
ブレークグラスのサポート
緊急時には、ブレークグラス ワークフローを使用してポリシーの適用を回避し、インシデント対応に支障が生じないようにします。ブレークグラス インシデントはすべて Cloud Audit Logging に記録されます。
サードパーティ製ソリューションとの統合
Binary Authorization を、CloudBees、Twistlock(Palo Alto Networks)、Terraform などの主要なコンテナ セキュリティおよび CI / CD パートナーと統合できます。
リソース
料金
Binary Authorization の料金について詳しくは、料金ページをご覧ください。
$300 分の無料クレジットと 20 種類以上の無料枠プロダクトを活用して Google Cloud で構築を開始しましょう。
プロジェクトを開始してインタラクティブなチュートリアルを体験し、アカウントを管理しましょう。