Google Cloud Platform 서비스 약관 (1.4(d)항, '서비스 중단')에서는 Binary Authorization에 적용되는 지원 중단 정책을 정의합니다. 지원 중단 정책은 여기에 나와 있는 서비스, 기능 또는 제품에만 적용됩니다.
서비스, 기능 또는 제품이 공식적으로 지원 중단된 후에도 최소한 서비스 약관에서 정의된 기간 동안에는 계속 사용할 수 있습니다. 이 기간 이후에는 서비스가 종료될 예정입니다.
Binary Authorization은 GKE용 프로젝트 싱글톤 정책을 사용한 기존 지속적 검증(기존 CV)에 대한 지원을 종료합니다.
- 2024년 4월 15일부터는 새 프로젝트에서 Google Kubernetes Engine(GKE)에 기존 CV를 사용 설정할 수 없습니다.
- 기존 CV는 2025년 5월 1일까지 이미 사용 설정된 기존 프로젝트의 프로젝트 싱글톤 정책을 통해 GKE 포드를 계속 모니터링합니다. 2025년 5월 1일 이후에는 기존 CV가 더 이상 포드를 모니터링하지 않으며 프로젝트 싱글톤 Binary Authorization 정책을 준수하지 않는 포드 이미지에 대해 Cloud Logging 항목이 더 이상 생성되지 않습니다.
대체: 검사 기반 플랫폼 정책을 사용한 지속적 검증(CV)
검사 기반 플랫폼 정책을 사용한 지속적 검증(CV)을 사용하여 포드 모니터링
검사 기반 플랫폼 정책을 사용하면 증명 지원 외에도 포드와 연결된 컨테이너 이미지의 메타데이터를 모니터링하여 잠재적인 보안 문제를 완화할 수 있습니다. CV 검사 기반 정책은 다음을 포함하는 검사를 제공합니다.
- 취약점 검사: 이미지에서 정의한 심각도 수준의 보안 취약점이 있는지 확인합니다.
- Sigstore 검사: 이미지에 sigstore에서 서명한 증명이 포함됩니다.
- SLSA 검사: 신뢰할 수 있는 디렉터리의 소스에서 신뢰할 수 있는 빌더가 이미지를 빌드했습니다.
- 신뢰할 수 있는 디렉터리 검사: 이미지가 신뢰할 수 있는 이미지 저장소 내의 신뢰할 수 있는 디렉터리에 있어야 합니다.
기존의 지속적 검증과 마찬가지로 검사 기반 정책을 사용한 CV도 정책을 준수하지 않는 이미지가 있는 포드를 로깅에 기록합니다.
기존 지속적 검증(기존 CV)을 사용하는 경우 마이그레이션을 참조하세요.
검사 기반 플랫폼 정책으로 CV를 사용하는 방법에 관한 자세한 내용은 지속적 검증 개요를 참고하세요.
마이그레이션
기존 CV 프로젝트 싱글톤 정책에서 상응하는 검사 기반 플랫폼 정책으로 이전하려면 다음 단계를 따르세요.
ALWAYS_ALLOW
프로젝트 싱글톤 정책의 경우checkSet
블록이 없는 검사 기반 플랫폼 정책을 만듭니다.ALWAYS_DENY
프로젝트 싱글톤 정책의 경우alwaysDeny
검사가 있는 단일checkSet
블록으로 검사 기반 플랫폼 정책을 만듭니다.- 증명이 필요한 프로젝트 싱글톤 정책의 경우 단일 검사 기반 정책을 만들고 프로젝트 싱글톤 정책의 각 증명자에 대해 하나의 SimpleSigningAttestationCheck를 검사 기반 정책에 추가합니다 동일한 키 쌍을 사용하면 검사가 기존 증명과 계속 작동하며 유효한 증명이 없는 포드 이미지만 로깅합니다.
검사 기반 플랫폼 정책은 Google Cloud 프로젝트가 아닌 GKE 클러스터로 범위가 지정됩니다. 확인 기반 플랫폼 정책을 만든 후 하나 이상의 클러스터에 해당 정책을 적용할 수 있습니다.
클러스터에서 검사 기반 플랫폼 정책으로 CV를 사용 설정하려면 클러스터 생성 또는 업데이트 프로세스 중에 클러스터의 Binary Authorization 설정을 구성해야 합니다.