Binary Authorization

只在 Google Kubernetes Engine 上部署可信容器。

Binary Authorization 映像

Binary Authorization 是一种部署时安全控件,可确保仅在 Google Kubernetes Enginee (GKE) 上部署可信的容器映像。借助 Binary Authorization,您可以要求在开发过程中由可信授权方对映像进行签名,然后在部署时强制执行签名验证。通过强制执行验证,您可以确保仅将经过验证的映像集成到构建和发布流程中,从而对容器环境实施更严格的控制。

“实施标准化容器发布做法”图标

实施标准化容器发布做法

使用 Binary Authorization,DevOps 团队可以确保只将明确获得授权的容器映像部署到 GKE。通过在部署之前验证映像,您可以降低在您的环境中运行意外或恶意代码的风险。

“实施主动安全措施”图标

实施主动安全措施

Binary Authorization 确保只有经过验证的容器才能被部署到环境中,并且这些容器在运行期间仍然受信任,以此帮助 DevOps 团队实施主动式容器安全措施。

“原生 GCP”图标

原生 GCP 集成

Binary Authorization 可与 GKE 控制平面集成,以根据您定义的政策允许或阻止映像部署。您还可以利用与 Cloud BuildContainer Registry Vulnerability Scanning 的集成,根据构建信息和发现的漏洞启用部署时控制措施。

Binary Authorization 特性

政策创建

根据您的组织的安全要求,在项目级和集群级定义政策。除 CI/CD 设置外,还可为多种环境(例如,生产和测试)创建不同的政策。

政策验证和实施

使用 Binary Authorization 验证 Container Registry Vulnerability Scanning 等漏洞扫描工具和第三方解决方案提供的签名或您生成的映像签名,以便实施政策。

Cloud Security Command Center 集成

在 Cloud Security Command Center (CSCC) 的集中式安全管理平台中查看政策违规情况。浏览由于政策限制而导致的部署尝试失败或 Breakglass 工作流活动等事件。

Audit logging

使用 Cloud Audit Logging 维护一份所有政策违规行为和失败部署尝试的记录。

Cloud KMS 支持

使用您在 Cloud Key Management Service 中管理的非对称密钥为映像签名,以进行签名验证。

Kubernetes 开源支持

使用开源 Kritis 工具在本地 Kubernetes 部署和云端 GKE 部署中强制执行签名验证。

试运行支持

在部署之前,以非执行模式对政策的更改进行测试。在 Cloud Audit Logging 中查看结果,包括理应被屏蔽的部署。

Breakglass 支持

使用 Breakglass 工作流在紧急情况下绕过政策,以免您在突发事件响应期间受到阻碍。所有 Breakglass 事件都将记录在 Cloud Audit Logging 中。

与第三方解决方案集成

将 Binary Authorization 与 CloudBees、Twistlock、Terraform 等领先容器安全和 CI/CD 合作伙伴产品集成。

资源和集成

试用教程,启动快速入门向导,并浏览评价。

Google Cloud

开始使用

Binary Authorization

只在 Google Kubernetes Engine 上部署可信容器。

发送以下问题的反馈:

此网页
Binary Authorization