Binary Authorization

只在 Google Kubernetes Engine 上部署可信容器。
概览

概览

Binary Authorization 是一种部署时安全控件,可确保仅在 Google Kubernetes Enginee (GKE) 上部署可信的容器映像。借助 Binary Authorization,您可以要求在开发过程中由可信授权方对映像进行签名,然后在部署时强制执行签名验证。通过强制执行验证,您可以确保仅将经过验证的映像集成到构建和发布流程中,从而对容器环境实施更严格的控制。

实施标准化容器发布做法

使用 Binary Authorization,DevOps 团队可以确保只将明确获得授权的容器映像部署到 GKE。通过在部署之前验证映像,您可以降低在您的环境中运行意外或恶意代码的风险。

实施主动安全措施

Binary Authorization 确保只有经过验证的容器才能被部署到环境中,并且保证这些容器在运行期间仍然可受信任,以此帮助 DevOps 团队实施主动式容器安全措施。

原生 GCP 集成

Binary Authorization 可与 GKE 控制面板集成,以根据您定义的政策允许或阻止映像部署。您还可以利用与 Cloud BuildContainer Registry Vulnerability Scanning 的集成,根据构建信息和发现的漏洞实施部署时控制措施。

特性

政策创建

根据您的组织的安全要求,在项目级和集群级定义政策。除 CI/CD 设置外,还可为多种环境(例如,生产和测试)创建不同的政策。

政策验证和实施

使用 Binary Authorization 验证 Container Registry 漏洞扫描及同类工具和第三方解决方案提供的签名,或您生成的映像签名,以便实施政策。

Cloud Security Command Center 集成

在 Cloud Security Command Center (CSCC) 的集中式安全管理平台中查看政策违规情况。浏览由于政策限制而失败的部署尝试或 Breakglass 工作流活动等事件。

Audit Logging

使用 Cloud Audit Logging 维护一份所有政策违规行为和失败部署尝试的记录。

Cloud KMS 支持

使用您在 Cloud Key Management Service 中管理的非对称密钥为映像签名,以进行签名验证。

Kubernetes 开源支持

使用开源 Kritis 工具在本地 Kubernetes 部署和云端 GKE 部署中强制执行签名验证。

试运行支持

在部署之前,以非执行模式对政策的更改进行测试。在 Cloud Audit Logging 中查看结果,包括理应被屏蔽的部署。

Breakglass 支持

使用 Breakglass 工作流在紧急情况下绕过政策,以免您在突发事件响应期间受到阻碍。所有 Breakglass 事件都将记录在 Cloud Audit Logging 中。

与第三方解决方案集成

将 Binary Authorization 与 CloudBees、Twistlock、Terraform 等领先容器安全和 CI/CD 合作伙伴产品集成。

集成

资源

价格

Binary Authorization 是 Anthos 平台的一项功能,订阅 Anthos 后就可以使用 Binary Authorization。Binary Authorization 使用 Container Analysis 存储与容器映像部署的授权相关的元数据。订阅 Anthos 后,您可以无限制地使用 Container Analysis 和 Container Analysis API。

详细了解 Binary Authorization 价格

Google Cloud

开始使用

学习和构建

刚接触 GCP?您可以领取 $300 赠金,免费开始使用任意 GCP 产品。

需要更多帮助?

我们的专家会根据您的需求,帮助您打造合适的解决方案,或者寻找合适的合作伙伴。

发送以下问题的反馈:

此网页
Binary Authorization