Concetti di Autorizzazione binaria

Questa pagina contiene informazioni sui concetti relativi all'autorizzazione binaria.

Criteri

Un criterio di Autorizzazione binaria, noto anche come criterio singleton del progetto, è un insieme di regole che regolano il deployment delle immagini container.

Convalida continua (CV), utilizza una un tipo diverso di criterio, chiamato criterio della piattaforma.

Una norma è composta dalle seguenti parti:

Puoi configurare un criterio utilizzando uno dei seguenti elementi:

  • Console Google Cloud
  • gcloud comandi

Quando utilizzi i comandi gcloud, esporti e modifichi una definizione del criterio in formato YAML prima di importarli nuovamente nel tuo progetto. Il formato YAML riflette la struttura interna di un criterio nell'archiviazione di Autorizzazione binaria. Per ulteriori informazioni su questo formato, consulta Riferimento YAML per i criteri.

Ogni progetto Google Cloud può avere esattamente un criterio. Devi configurare il criterio nel progetto in cui esegui la piattaforma di deployment. In un configurazione di singoli progetti, il criterio e tutti i criteri (attestatori e attestati) risiedono in lo stesso progetto. Per stabilire la separazione dei compiti, puoi utilizzare una configurazione con più progetti. In questa configurazione, la piattaforma di deployment può essere eseguita in un progetto, gli attestatori possono trovarsi in un altro progetto e le attestazioni in un altro ancora.

Per configurare e utilizzare Autorizzazione binaria sulle piattaforme supportate, consulta Configurazione in base alla piattaforma.

Guarda un esempio di configurazione con più progetti per GKE.

Regole

Quando configuri un criterio, ne definisci le regole. Le regole definiscono vincoli che le immagini devono soddisfare prima di poter essere implementate. Un criterio ha una regola predefinita e può avere regole specifiche, a seconda della piattaforma. Per saperne di più, consulta Tipi di regole supportate per piattaforma.

Ogni regola può essere configurata con una modalità di valutazione e una modalità di applicazione. Ad esempio, una regola può richiedere che un'immagine abbia un attestato firmato prima di poter essere implementata.

Regola predefinita

Ogni criterio ha una regola predefinita. Questa regola si applica a qualsiasi richiesta di deployment che non corrisponde a una regola specifica. In un file YAML dei criteri, la regola predefinita è specificata nel nodo defaultAdmissionRule.

Per ulteriori informazioni sulla configurazione della regola predefinita, consulta Configurare un criterio.

Regole specifiche

A un criterio è possibile aggiungere una o più regole specifiche. Questo tipo di si applica alle immagini di cui deve essere eseguito il deployment in cluster, account di servizio o identità. Il supporto di regole specifiche varia in base alla piattaforma. Per ulteriori informazioni, consulta Tipi di regole supportati per piattaforma.

In un file YAML dei criteri, ogni regola specifica del cluster viene specificata clusterAdmissionRule nodo.

Tipi di regole supportati per piattaforma

La tabella seguente mostra i tipi di regole supportati per ogni deployment completamente gestita.

Piattaforma Regola predefinita Regola specifica
GKE Supportato Cluster
Spazi dei nomi Kubernetes
Account di servizio Kubernetes
Cloud Run Supportato Non supportata
Cluster collegati a GKE Supportato Cluster
Spazi dei nomi Kubernetes
Account di servizio Kubernetes
GKE su AWS Supportato Cluster
Spazi dei nomi Kubernetes
Account di servizio Kubernetes
Google Distributed Cloud Supportato Cluster
Spazi dei nomi Kubernetes
Account di servizio Kubernetes
Google Distributed Cloud Supportato Cluster
Spazi dei nomi Kubernetes
Service account Kubernetes
Cloud Service Mesh Supportato Identità di servizio Cloud Service Mesh

Modalità di valutazione

Ogni regola ha una modalità di valutazione che specifica il tipo di vincolo applicato da Autorizzazione binaria per la regola. La modalità di valutazione di una regola viene specificata utilizzando la proprietà evaluationMode nel file YAML del criterio.

Esistono tre modalità di valutazione:

  • Consenti tutte le immagini: consente il deployment di tutte le immagini.
  • Non consentire tutte le immagini: non consente il deployment di tutte le immagini.
  • Richiedi attestazioni: richiede a un firmatario di firmare digitalmente il digest dell'immagine e di creare un'attestazione prima del deployment. Al momento del deployment, l'applicazione forzata di Autorizzazione binaria utilizza un attestatore per verificare la firma nell'attestazione prima di eseguire il deployment dell'immagine.

Modalità di applicazione

Ogni regola ha anche una modalità di applicazione, che specifica l'azione acquisite da GKE quando un'immagine non è conforme alla regola. Una regola può avere le seguenti modalità di applicazione:

  • Blocca e log di controllo: blocca il deployment delle immagini non conformi alla regola e scrive un messaggio nel log di controllo per indicare il motivo per cui l'immagine non è stata dispiata.

  • Dry run: solo audit log: la modalità dry run è una modalità di applicazione forzata in un criterio che consente il deployment di immagini non conformi, ma scrive dettagli su il deployment in Cloud Audit Logs. La modalità di prova secca ti consente di testare un criterio, ad esempio nell'ambiente di produzione, prima che l'applicazione venga effettivamente applicata.

La maggior parte delle regole di produzione utilizza la modalità di applicazione Blocca e log di controllo. Dry run: solo audit log viene utilizzato principalmente per testare un criterio nel dell'ambiente di lavoro prima che entri in vigore.

La modalità di applicazione forzata per una regola viene specificata utilizzando enforcementMode nel YAML dei criteri.

Vedi Visualizzare gli audit log (GKE, Google Distributed Cloud, Cloud Service Mesh) oppure Visualizza audit log (Cloud Run) per ulteriori informazioni sui messaggi scritti in Cloud Audit Logs.

di una convalida continua

La convalida continua (CV) è una funzionalità di Autorizzazione binaria che controlla periodicamente le immagini associate ai pod in esecuzione per verificare la conformità ai criteri.

Scopri di più su CV.

Immagini esenti

Un'immagine esente è un'immagine esente dalle regole dei criteri. Autorizzazione binaria consente sempre il deployment delle immagini esenti. Ogni progetto ha a una lista consentita di immagini esenti specificate dal percorso del registro. Immagini nel percorso gcr.io/google_containers/*, k8s.gcr.io/** e altri percorsi sono esenti da perché contengono risorse necessarie per fare in modo che GKE può avviare correttamente un cluster con il criterio predefinito attivo.

Per aggiungere un'immagine esente alla lista consentita, aggiungi l'elemento al file dei criteri:

admissionWhitelistPatterns:
  - namePattern: EXEMPT_IMAGE_PATH

Sostituisci EXEMPT_IMAGE_PATH con il percorso dell'immagine da esentare. Per escludere altre immagini, aggiungi altre voci - namePattern. Scopri di più su admissionWhitelistPatterns.

Pattern della lista consentita

Per inserire nella lista consentita tutte le immagini la cui posizione del registro corrisponde a quella specificata percorso:

gcr.io/example-project/*

Per inserire nella lista consentita tutte le immagini la cui posizione nel Registro di sistema è una sottodirectory del percorso specificato (ad es. gcr.io/example-project/my-directory/helloworld):

gcr.io/example-project/**

Per inserire nella lista consentita un'immagine specifica:

gcr.io/example-project/helloworld

Per inserire nella lista consentita una versione specifica di un'immagine in base al tag:

gcr.io/example-project/helloworld:latest
gcr.io/example-project/helloworld:my-tag

Per inserire nella lista consentita tutte le versioni/tutti i tag di un'immagine:

gcr.io/example-project/helloworld:*

Per inserire nella lista consentita una versione specifica di un'immagine in base al suo digest:

gcr.io/example-project/helloworld@sha256:77b0b75136b9bd0fd36fb50f4c92ae0dbdbbe164ab67885e736fa4374e0cbb8c

Scopri di più sull'utilizzo delle sintesi delle immagini container.

Scopri come gestire le immagini esenti nella console Google Cloud utilizzando lo strumento a riga di comando. o utilizzando l'API REST.

Immagini di sistema gestite da Google

Attendi tutte le cause delle immagini di sistema gestite da Google Autorizzazione binaria per escludere un elenco di immagini di sistema gestite da Google da per un'ulteriore valutazione delle norme. Quando questa impostazione è attivata, le immagini richieste da GKE non vengono bloccate dall'applicazione dei criteri. Il criterio di sistema viene valutato prima e in aggiunta ai criteri relativi agli utenti la valutazione delle prestazioni.

Puoi attivare o disattivare questa impostazione utilizzando la proprietà globalPolicyEvaluationMode nel file YAML dei criteri. Puoi visualizzare i contenuti del criterio di sistema utilizzando il seguente comando:

gcloud alpha container binauthz policy export-system-policy

Attestazioni

Un'attestazione è un documento digitale che certifica un'immagine. Durante il deployment, Autorizzazione binaria verifica l'attestazione prima consente il deployment dell'immagine.

La procedura di creazione di un'attestazione è talvolta chiamata firma di un'immagine. Viene creata un'attestazione dopo la creazione di un'immagine. Ciascuna di queste immagini ha un digest unico a livello globale. Un signer firma l'immagine digest utilizzando una chiave privata di una coppia di chiavi e utilizza per creare l'attestazione. Al momento del deployment, l'autorizzazione binaria l'applicazione forzata utilizza la chiave pubblica dell'attestatore per verificare la firma nell'attestazione. Generalmente un attestatore corrisponde a un solo firmatario.

Un'attestazione indica che l'immagine associata è stata creata da di eseguire correttamente uno specifico processo richiesto. Ad esempio, se il firmatario è un rappresentante della funzione di garanzia di qualità (QA), l'attestazione potrebbe indicare che l'immagine ha superato tutte le richieste end-to-end richieste funzionale in un ambiente di gestione temporanea.

Per attivare le attestazioni in Autorizzazione binaria, il valore evaluationMode del criterio impostato su REQUIRE_ATTESTATION.

Scopri come creare e utilizzare attestatori e attestazioni.

Firmatari

Un signer è una persona o un processo automatizzato che crea un attestazione firmando un descrittore di immagine univoco con una chiave privata. L'attestazione viene verificata al momento del deployment tramite la chiave pubblica corrispondente archiviata in un attestatore prima del deployment dell'immagine associata.

Scopri come creare e utilizzare attestatori e attestazioni.

Attestatori

Un attestatore è una risorsa di Google Cloud che Autorizzazione binaria utilizza per verificare l'attestazione al momento del deployment dell'immagine. Gli attestatori contengono La chiave pubblica che corrisponde alla chiave privata utilizzata da un signer per firmare il digest dell'immagine e creare l'attestazione. La L'applicazione di Autorizzazione binaria utilizza l'attestatore al momento del deployment per limitare le istanze per le immagini può essere eseguito il deployment attestazione verificabile creata prima del deployment.

Gli attestatori sono spesso gestiti dal personale delle operazioni di sicurezza, che anche gestiscono le coppie di chiavi pubbliche e private, mentre i firmatari sono in genere tecnici, QA o personale di conformità DevOps responsabili della di cui è possibile eseguire il deployment, firmandole con la chiave privata e creando delle attestazioni prima di tentare di eseguirne il deployment.

Gli attestatori hanno:

Quando configuri un criterio che contiene una regola Richiedi attestazioni, devono aggiungere un attestatore per ogni persona o processo che deve eseguire la verifica per assicurarti che l'immagine sia pronta per il deployment. Puoi aggiungere attestatori utilizzando la console Google Cloud, l'interfaccia gcloud o l'API REST di Autorizzazione binaria.

Scopri come creare e utilizzare attestatori e attestazioni.

Chiavi crittografiche

Autorizzazione binaria utilizza le firme digitali per verificare le immagini al momento del deployment se il criterio contiene una regola Richiedi attestazioni.

Viene generata una coppia di chiavi. La chiave privata viene utilizzata dal signer per firma un descrittore di immagine. Viene creata un'attestazione.

Viene quindi creato e archiviato nel criterio un attestatore. La chiave pubblica corrispondente alla chiave privata utilizzata per la firma viene caricata e collegata all'attestatore.

Quando si tenta di eseguire il deployment di un'immagine, Autorizzazione binaria utilizza gli attestatori nel criterio per verificare le attestazioni dell'immagine. Se l'attestazione può essere viene eseguito il deployment dell'immagine.

Autorizzazione binaria supporta due tipi di chiavi:

Le chiavi PKIX possono essere archiviate localmente, esternamente o in Cloud Key Management Service.

Crea una chiave di crittografia e un attestatore.

Note di Artifact Analysis

Autorizzazione binaria utilizza Artifact Analysis per archiviare i metadati attendibili utilizzati nella procedura di autorizzazione. Per ogni attestatore che crei, devi creare una nota di analisi degli elementi. Ogni attestazione viene archiviata come occorrenza di questa nota.

Quando Autorizzazione binaria valuta una regola che richiede che gli attestatori abbiano ha verificato un'immagine, controlla lo spazio di archiviazione di Artifact Analysis per vedere se sono presenti le attestazioni richieste.