Einstellung und Einstellung der kontinuierlichen Legacy-Validierung

In den Nutzungsbedingungen der Google Cloud Platform (Abschnitt 1.4(d), "Einstellung von Diensten") ist die für Binary Authorization gültige Einstellungsrichtlinie definiert. Die Richtlinie zur Einstellung gilt nur für die Dienste, Features oder die darin aufgeführten Produkte.

Nachdem ein Dienst, ein Feature oder ein Produkt offiziell verworfen wurde, ist es noch mindestens während des Zeitraums verfügbar, der in den Nutzungsbedingungen festgelegt ist. Nach Ablauf dieser Zeit wird ein Datum für die Einstellung des Dienstes festgelegt.

Die Binärautorisierung beendet die Unterstützung für die kontinuierliche Legacy-Validierung (Legacy-CV) mit Projekt-Singleton-Richtlinien für GKE.

  • Ab dem 15. April 2024 können Sie den Legacy-CV für Google Kubernetes Engine (GKE) nicht mehr für neue Projekte aktivieren.
  • Legacy-CV überwacht bis zum 1. Mai 2025 Ihre GKE-Pods weiterhin über Projekt-Singleton-Richtlinien für vorhandene Projekte, für die es bereits aktiviert ist. Nach dem 1. Mai 2025 überwacht Legacy-CV Ihre Pods nicht mehr und es werden keine Cloud Logging-Einträge für Pod-Images mehr erstellt, die nicht der Richtlinie für die Binärautorisierung für das Projekt-Singleton entsprechen.

Ersatz: Kontinuierliche Validierung (Continuous Validation, CV) mit prüfbasierten Plattformrichtlinien

Überwachen Sie Ihre Pods mit der kontinuierlichen Validierung (CV) mit prüfbasierten Plattformrichtlinien.

Zusätzlich zur Unterstützung von Attestierungen können Sie mit prüfbasierten Plattformrichtlinien die Metadaten von Container-Images überwachen, die mit Ihren Pods verknüpft sind, um potenzielle Sicherheitsprobleme zu minimieren. CV-prüfbasierte Richtlinien bieten Prüfungen, die Folgendes umfassen:

  • Prüfung auf Sicherheitslücken: Das Image wird auf Sicherheitslücken geprüft, die einen von Ihnen definierten Schweregrad haben.
  • Sigstore-Prüfung: Das Image verfügt über Attestierungen, die von sigstore signiert werden.
  • SLSA-Prüfung: Das Image wurde aus der Quelle in einem vertrauenswürdigen Verzeichnis und von einem vertrauenswürdigen Builder erstellt.
  • Prüfung auf vertrauenswürdige Verzeichnisse: Das Image muss sich in einem vertrauenswürdigen Verzeichnis innerhalb eines vertrauenswürdigen Image-Repositorys befinden.

Wie bei der kontinuierlichen Legacy-Validierung protokolliert die CV mit prüfbasierten Richtlinien auch Pods mit nicht konformen Images in Logging.

Wenn Sie die kontinuierliche Legacy-Validierung (Legacy-CV) verwenden, finden Sie weitere Informationen unter Migration.

Weitere Informationen zur Verwendung von CV mit prüfbasierten Plattformrichtlinien finden Sie unter Übersicht über die kontinuierliche Validierung.

Migration

So migrieren Sie von einer Legacy-CV-Projekt-Singleton-Richtlinie zu einer entsprechenden prüfbasierten Plattformrichtlinie:

  • Erstellen Sie für eine ALWAYS_ALLOW-Projekt-Singleton-Richtlinie eine prüfbasierte Plattformrichtlinie ohne checkSet-Block.
  • Erstellen Sie für eine ALWAYS_DENY-Projekt-Singleton-Richtlinie eine prüfbasierte Plattformrichtlinie mit einem einzelnen checkSet-Block, der eine alwaysDeny-Prüfung aufweist.
  • Erstellen Sie für eine Projekt-Singleton-Richtlinie, die Attestierungen erfordert, eine einzelne prüfbasierte Richtlinie. Fügen Sie dann für jeden Attestierer in der Projekt-Singleton-Richtlinie eine SimpleSigningAttestationCheck-Instanz für die prüfbasierte Richtlinie hinzu. Bei Verwendung desselben Schlüsselpaars funktioniert die Prüfung weiterhin mit Ihren vorhandenen Attestierungen und protokolliert nur Pod-Images, die keine gültigen Attestierungen haben.

Prüfbasierte Plattformrichtlinien sind auf einen GKE-Cluster und nicht auf ein Google Cloud-Projekt beschränkt. Nachdem Sie eine prüfbasierte Plattformrichtlinie erstellt haben, können Sie diese Richtlinie auf einen oder mehrere Cluster anwenden.

Wenn Sie CV mit prüfbasierten Plattformrichtlinien in einem Cluster aktivieren möchten, müssen die Einstellungen für die Binärautorisierung des Clusters während der Erstellung oder Aktualisierung des Clusters konfiguriert werden.