二進位授權Beta 版

僅在 Google Kubernetes Engine 中部署受信任的容器。

「二進位授權」圖片

二進位授權是一種部署作業期間的安全性控管機制,可確保只有受信任的容器映像檔才會部署至 Google Kubernetes Engine (GKE)。使用二進位授權之後,您可以要求受信任的單位在開發過程中簽署映像檔,然後在部署時強制執行簽名驗證程序。透過強制執行驗證程序,您可以確保僅將已通過驗證的映像檔整合至建構與發布的流程中,藉此更嚴謹地控管容器環境。

「強制執行標準化作業」圖示

實施標準化容器發布做法

採用二進位授權之後,開發運作團隊就能確保只將已明確取得授權的容器映像檔部署至 GKE。藉由在開始部署前驗證映像檔,您可以降低所在環境中出現非預期或惡意程式碼的風險。

「部署主動式安全防護措施」圖示

部署主動式安全防護措施

二進位授權可確保只有已通過驗證的容器才能進入環境當中,且這些容器的受信任程度在執行階段中不會減損,讓開發運作團隊能夠部署主動式容器安全防護措施。

「原生 GCP」圖示

原生 GCP 整合

二進位授權已整合至 GKE 控制層,可根據您定義的政策允許或封鎖映像檔部署作業。另外,二進位授權也與 Cloud BuildContainer Registry 安全漏洞掃描功能相互整合,因此您可以根據建構作業資訊和安全漏洞發現項目啟用部署作業安全控管機制。

二進位授權的功能

制定政策

您可以根據所屬機構的安全性規定,定義專案和叢集層級的政策。除了設定持續整合/持續推送軟體更新之外,您也能為多個環境 (例如實際工作環境和測試環境) 制定專屬的政策。

政策驗證與強制執行

您可以使用二進位授權來強制執行簽名驗證政策,藉此驗證 Container Registry 安全漏洞掃描功能、第三方解決方案等安全漏洞掃描工具提供的簽名,或是您產生的映像檔簽名。

整合 Cloud Security Command Center

您可以在 Cloud Security Command Center (CSCC) 中查看違反政策規定的結果,藉此當做單一安全性控管機制的一部分。另外,您也能瀏覽因政策限制而失敗的部署作業,或是急用權限工作流程活動等事件。

稽核記錄

Cloud 稽核記錄可保存一份包含所有政策違反事件和失敗部署作業的記錄。

支援 Cloud KMS

使用您透過 Cloud Key Management Service 管理的非對稱式金鑰來簽署映像檔,以便進行簽名驗證作業。

針對 Kubernetes 提供開放原始碼支援

您可以使用開放原始碼的 Kritis 工具,在內部部署系統中的 Kubernetes 和雲端中的 GKE 部署項目中強制執行簽名驗證作業。

支援模擬測試

執行部署作業之前,您可以在非強制執行模式下測試政策異動,並在測試完成後查看結果,當中包含會在 Cloud 稽核記錄中封鎖的部署作業。

支援急用權限

有了急用權限工作流程,您就能在緊急情況下忽略政策規定,確保自己不會受到事件回應的干擾。所有急用權限事件都會記錄在 Cloud 稽核記錄中。

與第三方解決方案整合

您可以將二進位授權整合至領先業界的容器安全性、持續整合/持續推送軟體更新合作夥伴產品,例如 CloudBees、Twistlock 和 Terraform。

資源與整合功能

參加教學課程、開始快速入門導覽課程及瀏覽評論。

二進位授權入門教學課程

二進位授權程式碼研究室

二進位授權:僅部署您信任的內容

Container Registry 安全漏洞掃描功能整合指南

CircleCI 整合指南

Black Duck 整合指南

Cloud Build 整合指南

CloudBees 整合指南

Terraform 整合指南

Twistlock 整合指南

二進位授權示範影片

Google Cloud

開始使用

二進位授權

僅在 Google Kubernetes Engine 中部署受信任的容器。

本產品目前仍處於 Beta 測試階段,不久後便會全面開放使用。如要進一步瞭解各個產品的推出階段,請參閱這個網頁

傳送您對下列選項的寶貴意見...

這個網頁
Binary Authorization