Os Termos de Serviço do Google Cloud Platform (seção 1.4(d), "Descontinuidade dos serviços") definem a política de suspensão de uso que se aplica a Binary Authorization. A política de suspensão de uso se aplica somente aos serviços, recursos ou produtos listados nela.
Depois que um serviço, recurso ou produto é oficialmente suspenso, ele continua disponível pelo menos durante o período definido nos Termos de Serviço. Após esse período, o serviço será encerrado.
A autorização binária está encerrando o suporte à validação contínua legada (CV legada) com políticas de Singleton de projeto para o GKE.
- Desde 15 de abril de 2024, não é mais possível ativar a CV legada para o Google Kubernetes Engine (GKE) em novos projetos.
- A CV legada continuará monitorando seus pods do GKE por meio de políticas de Singleton para projetos atuais em que ela já está ativada até 1° de maio de 2025. Após essa data, ela não vai mais monitorar seus pods, e as entradas do Cloud Logging não serão mais produzidas para imagens de pod que não estejam em conformidade com a política da autorização binária de Singleton de projeto.
Substituição: validação contínua (CV) com políticas de plataforma baseadas em verificação
Monitore seus pods usando a validação contínua (CV) com políticas de plataforma baseadas em verificação.
Além do suporte a atestados, as políticas de plataforma baseadas em verificação permitem monitorar os metadados de imagens de contêiner associadas aos seus pods a fim de ajudar a reduzir possíveis problemas de segurança. As políticas baseadas em verificação da CV fornecem verificações que incluem o seguinte:
- Verificação de vulnerabilidades: a imagem é verificada quanto a vulnerabilidades de segurança que estão em um nível de gravidade definido por você.
- Verificação do Sigstore: a imagem tem atestados assinados pelo Sigstore.
- Verificação de SLSA: a imagem foi criada com base na origem em um diretório confiável e por um builder confiável.
- Verificação de diretório confiável: a imagem precisa residir em um diretório confiável dentro de um repositório de imagens confiável.
Assim como a validação contínua legada, a CV com políticas baseadas em verificação também registra pods com imagens sem conformidade no Logging.
Se você usar a validação contínua legada (CV legada), consulte Migração.
Para mais informações sobre como usar a CV com políticas de plataforma baseadas em verificação, consulte Visão geral da validação contínua.
Migração
Para migrar de uma política de Singleton de projeto da CV legada para uma política de plataforma baseada em verificação equivalente, faça o seguinte:
- Para uma política de Singleton de projeto
ALWAYS_ALLOW
, crie uma política de plataforma baseada em verificação sem nenhum bloco decheckSet
. - Para uma política de Singleton de projeto
ALWAYS_DENY
, crie uma política de plataforma baseada em verificação com um único blococheckSet
que tenha uma verificaçãoalwaysDeny
. - Para uma política de Singleton de projeto que exija atestados, crie uma única política baseada em verificação e, para cada atestador na política de Singleton de projeto, adicione uma SimpleSigningAttestationCheck à política baseada em verificação. Ao usar o mesmo par de chaves, a verificação continua funcionando com os atestados atuais e registra apenas imagens de pod que não têm atestados válidos.
As políticas de plataforma baseadas em verificação têm escopo para um cluster do GKE, em vez de para um projeto do Google Cloud. Depois de criar uma política de plataforma baseada em verificação, é possível aplicá-la a um ou mais clusters.
Para ativar a CV com políticas de plataforma baseadas em verificação em um cluster, as configurações de autorização binária dele precisam ser definidas durante o processo de criação ou atualização.