Autorização binária Beta

Implante apenas contêineres confiáveis no Google Kubernetes Engine.

Imagem de autorização binária

A autorização binária é um controle de segurança de tempo de implantação que garante que apenas imagens de contêiner confiáveis sejam implantadas no Google Kubernetes Engine (GKE). Com esse controle, é possível solicitar que todas as imagens sejam assinadas por autoridades confiáveis durante o processo de desenvolvimento e, depois disso, aplicar a validação da assinatura ao implantar. Ao aplicar a validação, você assume maior controle sobre o ambiente de contêiner e garante que apenas imagens verificadas sejam integradas ao processo de versão e lançamento.

Aplicação de ícone padronizado

Aplique práticas padronizadas de lançamento de contêiner

Ao usar a autorização binária, as equipes de DevOps têm a garantia de que apenas as imagens de contêiner explicitamente autorizadas serão implantadas no GKE. Verificar imagens antes de implantá-las pode reduzir o risco da execução de códigos mal-intencionados ou indesejados no seu ambiente.

Implantação de ícones de segurança de maneira proativa

Implante medidas de segurança proativas

A autorização binária contribui para a implementação de uma postura proativa de segurança de contêiner por parte das equipes de DevOps ao assegurar que apenas contêineres verificados sejam aceitos e que esses contêineres permaneçam confiáveis durante o tempo de execução.

Ícone nativo do GCP

Integração nativa do GCP

A autorização binária se integra ao plano de controle do GKE para permitir ou bloquear a implementação de imagens com base nas políticas que você estabelecer. Além disso, também é possível combinar integrações ao Cloud Build e à Verificação de vulnerabilidades do Container Registry para ativar controles de tempo de implantação com base em informações de compilação e descobertas de vulnerabilidade.

Recursos da autorização binária

Criação de políticas

Defina políticas com base nos requisitos de segurança da sua organização no nível do projeto e do cluster. É possível criar políticas distintas para ambientes diversos, como de produção e de teste, além de configurações de CI e CD.

Verificação e aplicação de política

Aplique políticas com a autorização binária para verificar assinaturas por meio de ferramentas de verificação de vulnerabilidade, como a verificação de vulnerabilidades do Container Registry, soluções terceirizadas ou imagens de assinaturas criadas por você.

Integração com o Cloud Security Command Center

Veja os resultados para violações de política em um único painel relativo a segurança no Cloud Security Command Center (CSCC). Saiba mais sobre eventos como tentativas de implantação que retornaram erro causadas por limitações da política ou por atividades com fluxo de trabalho de acesso imediato.

Geração de registros de auditoria

Armazene o registro de todas as violações da política e tentativas com erro de implantação com o Cloud Audit Logging.

Suporte do Cloud KMS

Use uma chave assimétrica que pode ser gerenciada no Cloud Key Management Service para solicitar a verificação de uma assinatura de imagem.

Suporte a código aberto do Kubernetes

Utilize a ferramenta de código aberto Kritis (em inglês) para aplicar a verificação de assinaturas ao Kubernetes Monitoring no local e às implantações do GKE em nuvem.

Suporte ao modo de teste

Faça alterações na sua política na fase de teste e criação antes da implantação. Veja os resultados, incluindo implantações que seriam bloqueadas, no Cloud Audit Logging.

Suporte ao acesso imediato

Ignore a política em caso de emergências com o fluxo de trabalho de acesso imediato para assegurar que você não fique sem recursos em caso de incidentes. Todos os incidentes de acesso imediato ficam registrados no Cloud Audit Logging.

Integração com soluções terceirizadas

Integre a autorização binária à segurança de contêiner líder do setor ou a parceiros de CI e CD, como o CloudBees, a Twistlock e a Terraform.

Recursos e integrações

Siga os tutoriais, use os guias de início rápido e leia as avaliações.

Tutorial de primeiros passos da autorização binária

Codelab da autorização binária

Proteja a cadeia de suprimentos de software

Autorização binária: implante apenas contêineres confiáveis

Guia de integração da verificação de vulnerabilidade do Container Registry

Guia de integração do CircleCI

Guia de integração da Black Duck

Guia de integração do Cloud Build

Guia de integração do CloudBees

Guia de integração da Terraform

Guia de integração da Twistlock

Vídeo de demonstração da autorização binária

Google Cloud

Primeiros passos

Autorização binária

Implante apenas contêineres confiáveis no Google Kubernetes Engine.

Este produto está na versão Beta. Em breve estará com disponibilidade geral. Para saber mais informações sobre nossas etapas de lançamento de produtos, consulte este link.

Enviar comentários sobre…

Binary Authorization