Descripción general de la validación continua

La validación continua (CV) es una función de la autorización binaria que verifica de forma periódica las imágenes de contenedor asociadas con los Pods que se ejecutan en Google Kubernetes Engine (GKE) para garantizar el cumplimiento continuo de la política de Autorización binaria.

Si bien la autorización binaria proporciona validación única en el momento de la implementación, CV extiende la validación al entorno posterior a la implementación. Con la autorización binaria habilitada y el CV habilitado, la conformidad de la política se valida durante todo el ciclo de vida de los Pods. El CV es útil en las siguientes situaciones:

  • Cambia la política de autorización binaria después de implementar una imagen de contenedor. Los cambios en las políticas no afectan a los Pods en ejecución. Los pods continúan ejecutándose incluso si la política actualizada ahora bloquea la misma imagen de contenedor. El CV te informa sobre la ejecución de pods que infringen la política recién actualizada.

  • Ejecución de prueba: Con la ejecución de prueba y el CV habilitados, la autorización binaria garantiza que se implemente una imagen de contenedor, pero que se registre con regularidad la política.

  • Anulación de emergencia: Si un Pod se implementa con anulaciones de emergencia, omite la aplicación forzosa de las políticas. En el momento de la implementación, la autorización binaria registra un evento en Cloud Audit Logs. Sin embargo, CV sigue registrando de forma periódica los Pods que infringen las políticas, incluidos los que están implementados con anulaciones de emergencia.

Habilitas el CV en proyectos que ejecutan GKE. Luego, CV verifica todos los Pods que se ejecutan en todos los clústeres del proyecto, incluidos los que no tienen habilitada la Autorización binaria.

La verificación se realiza al menos cada 24 horas. Durante la verificación, CV recupera una lista de imágenes asociadas con cada Pod que se ejecutó en el intervalo desde la verificación anterior. Luego, CV verifica que la información de la imagen del contenedor asociada con el Pod cumpla con la política de autorización binaria. Luego, CV registra las infracciones y otros resultados en Cloud Logging.

El CV registra los incumplimientos de política de los pods que no cumplen con las políticas hasta que este finaliza. Los pods que finalizan durante el intervalo entre verificaciones se registran durante la siguiente verificación.

¿Qué sigue?