Ringkasan Otorisasi Biner

Dokumen ini memberikan ringkasan tentang Otorisasi Biner.

Apa yang dimaksud dengan Otorisasi Biner?

Otorisasi Biner adalah produk Google Cloud yang dapat Anda gunakan untuk menerapkan langkah-langkah keamanan supply chain software saat mengembangkan dan men-deploy aplikasi berbasis container.

Apa yang dilakukan Otorisasi Biner?

Anda dapat menggunakan Otorisasi Biner untuk melakukan hal berikut:

• Memantau: Anda dapat mengonfigurasi validasi berkelanjutan (CV) dengan kebijakan platform berbasis pemeriksaan (Pratinjau) untuk memantau secara berkala bahwa image container yang terkait dengan Pod yang berjalan sesuai dengan kebijakan yang Anda tentukan. Jika gambar tidak sesuai dengan kebijakan, CV akan menghasilkan entri log di Cloud Logging.

• Terapkan: Anda dapat mengonfigurasi Penerapan Otorisasi Biner untuk menerapkan image yang di-deploy ke salah satu platform berbasis container yang didukung agar sesuai dengan kebijakan yang Anda tentukan. Image yang sesuai dengan kebijakan diizinkan untuk di-deploy; jika tidak, image tidak diizinkan untuk di-deploy.

Platform apa yang didukung Binary Authorization?

Otorisasi Biner mendukung platform berikut:

• Google Kubernetes Engine (GKE): menjalankan image dalam cluster yang dihosting di Google Cloud.
• Cloud Run: menjalankan aplikasi dalam container di platform serverless yang terkelola sepenuhnya.
• Cloud Service Mesh: mengelola mesh layanan yang andal yang berada di infrastruktur lokal atau Google Cloud.
• Software Google Distributed Cloud: menjalankan image di cluster GKE yang Anda host di hardware Anda sendiri.

Produk terkait Otorisasi Biner

Otorisasi Biner adalah bagian dari arsitektur deployment yang mencakup produk terkait berikut:

• Artifact Registry, Container Registry, dan registry lainnya yang menyimpan image yang ingin Anda deploy.
• Analisis Artefak menyediakan informasi kerentanan yang dapat Anda gunakan dengan Otorisasi Biner untuk mengontrol deployment. Secara terpisah, Analisis Artefak menyimpan metadata tepercaya yang digunakan dalam proses otorisasi.
• Pemantauan keamanan, dasbor yang dapat Anda gunakan untuk menilai postur keamanan aplikasi di seluruh produk Google Cloud yang saling bergantung, termasuk Otorisasi Biner.
• Cloud Build, yang menghasilkan pengesahan dan asal yang dapat digunakan oleh Otorisasi Biner untuk penegakan dan pemantauan.
• Cloud Deploy adalah layanan deployment berkelanjutan terkelola, yang mengotomatiskan pengiriman aplikasi ke serangkaian lingkungan target dalam urutan yang ditentukan.

Otorisasi Biner didasarkan pada spesifikasi Kritis, yang merupakan bagian dari project open source Grafeas.

Latar belakang

Keamanan supply chain software bertujuan untuk memastikan bahwa software bersumber, dibuat, diuji, dirilis, dan di-deploy sesuai dengan praktik terbaik dan standar internal.

Arsitektur berbasis container memungkinkan tim mengembangkan sistem yang sangat terdekoporasi, misalnya, yang didasarkan pada arsitektur microservice, dan mendorong penggunaan praktik pengembangan siklus proses pendek, termasuk continuous integration (CI) dan continuous deployment (CD).

Dalam lingkungan pengembangan berbasis container, image dapat di-deploy pada serangkaian cluster—seperti pengujian, staging, dan rilis—yang merupakan bagian dari rantai pasokan software.

Otorisasi Biner bertujuan untuk mengurangi risiko deployment software yang rusak, rentan, atau tidak sah di jenis lingkungan ini. Dengan menggunakan layanan ini, Anda dapat mencegah deployment image kecuali jika memenuhi kebijakan yang Anda tentukan.

Meskipun tidak menetapkan proses internal atau praktik terbaik, Otorisasi Biner membantu Anda menerapkan praktik Anda sendiri dengan membatasi deployment image yang belum lulus pemeriksaan yang diperlukan.

Siklus proses

Siklus proses deployment untuk image dapat terdiri dari tahap-tahap berikut, dengan menyelesaikan satu tahap sebagai prasyarat untuk melanjutkan ke tahap berikutnya—misalnya:

1. Pembuatan dan pengujian unit
2. Deployment ke lingkungan pengembangan tempat pengguna tidak terpengaruh
3. Deployment ke lingkungan QA, yang hanya memengaruhi pengguna internal
4. Deployment ke lingkungan canary, tempat hanya sebagian pengguna eksternal yang terpengaruh
5. Deployment ke produksi

Setiap tahap dapat memiliki lingkungan deployment-nya sendiri—misalnya, cluster GKE atau project Google Cloud—dan kriterianya sendiri yang harus dipenuhi sebelum image dapat berpindah ke tahap berikutnya. Otorisasi Biner memungkinkan Anda menentukan aturan yang digunakan gambar untuk berpindah dari satu tahap ke tahap lainnya dan menyediakan cara untuk menerapkan aturan tersebut.

Pengesahan

Kasus penggunaan Otorisasi Biner yang paling umum melibatkan pernyataan. Pengesahan menjamin bahwa image tertentu telah menyelesaikan tahap sebelumnya, seperti yang dijelaskan sebelumnya. Anda mengonfigurasi kebijakan Otorisasi Biner untuk memverifikasi pengesahan sebelum mengizinkan image di-deploy. Pada waktu deployment, bukan mengulangi aktivitas yang telah diselesaikan pada tahap sebelumnya, Otorisasi Biner hanya perlu memverifikasi pengesahan.

Kasus penggunaan yang melibatkan pengesahan mencakup hal berikut:

• Verifikasi build, yang menggunakan pengesahan untuk memverifikasi bahwa image dibuat oleh sistem build atau pipeline continuous integration (CI) tertentu.

  Untuk mempelajari cara menyiapkan pipeline CI, berdasarkan Cloud Build, yang dapat membuat pengesahan, lihat Integrasi Cloud Build.

• Pemindaian kerentanan, dengan image yang dibuat CI juga telah dipindai untuk menemukan kerentanan oleh Artifact Analysis. Dalam hal ini, pengesahan hanya dibuat jika kerentanan yang diidentifikasi memenuhi kebijakan penandatanganan kerentanan.

  Pelajari cara menyiapkan pipeline CI pemindaian kerentanan dengan Voucher atau Kritis Signer.

• Pemeriksaan manual, dengan seseorang, misalnya, perwakilan QA, membuat pengesahan secara manual.

  Untuk mempelajari cara membuat pengesahan secara manual, lihat Membuat pengesahan.

Lihat Memulai konsol Google Cloud untuk tutorial pengesahan menyeluruh.

Fitur

Otorisasi Biner menyediakan:

• Model kebijakan yang memungkinkan Anda menjelaskan batasan yang berlaku untuk deployment image
• Model pernyataan autentikasi yang memungkinkan Anda menentukan otoritas tepercaya yang dapat menyatakan atau memverifikasi bahwa proses yang diperlukan di lingkungan Anda telah selesai sebelum deployment
• Penegakan waktu deployment yang mencegah image yang melanggar kebijakan di-deploy

Model kebijakan

Otorisasi Biner menerapkan model kebijakan, dengan kebijakan adalah serangkaian aturan yang mengatur deployment image container. Aturan dalam kebijakan memberikan kriteria spesifik yang harus dipenuhi image sebelum dapat di-deploy.

Untuk mengetahui informasi selengkapnya tentang model kebijakan Otorisasi Biner dan konsep lainnya, lihat Konsep utama.

Penyiapan

Untuk menyiapkan Otorisasi Biner, Anda harus mengaktifkan layanan terlebih dahulu untuk project Google Cloud yang terdiri dari pipeline deployment dan otorisasi Anda.

Kemudian, Anda menentukan kebijakan yang menentukan batasan tempat image penampung dapat di-deploy. Jika kebijakan Anda memerlukan pengesahan sebelum deployment, Anda juga harus menyiapkan pengesah yang dapat memverifikasi pengesahan sebelum mengizinkan image terkait di-deploy.

Untuk menyiapkan Otorisasi Biner, lihat panduan berikut:

• Menyiapkan Otorisasi Biner di GKE
• Menyiapkan Otorisasi Biner di Distributed Cloud
• Menyiapkan Otorisasi Biner di Cloud Run

Otorisasi

Sebelum image dapat di-deploy, penanda tangan yang diperlukan harus membuat atestasi yang memverifikasi bahwa image siap dipindahkan ke tahap deployment berikutnya. Pengesahan adalah catatan yang berisi jalur registry dan ringkasan gambar, dan telah ditandatangani secara digital menggunakan kunci kriptografis pribadi penanda tangan.

Untuk mengetahui informasi selengkapnya tentang otorisasi, lihat Menggunakan pengesahan.

Penegakan

Saat Anda men-deploy image, Binary Authorization akan memeriksa kebijakan dan menerapkan aturan apa pun yang ditemukan yang mengatur deployment-nya.

Jika image lulus batasan yang ditentukan dalam kebijakan, Otorisasi Biner akan mengizinkan image di-deploy. Jika tidak, layanan akan memblokir deployment dan menulis pesan ke Cloud Audit Logs yang menjelaskan alasan image tidak mematuhi persyaratan.

Untuk melihat peristiwa penerapan Otorisasi Biner di Cloud Audit Logs, lihat panduan berikut:

• Melihat log audit (GKE)
• Melihat log audit (Cloud Run)
• Melihat log audit (Distributed Cloud)

Untuk informasi selengkapnya tentang deployment, lihat panduan berikut:

• Men-deploy penampung (GKE)
• Men-deploy container (contoh Distributed Cloud
• Menggunakan Otorisasi Biner dengan Cloud Run

Validasi berkelanjutan

Validasi berkelanjutan (CV) dengan kebijakan platform berbasis pemeriksaan adalah fitur Otorisasi Biner yang secara berkala memeriksa metadata image container yang terkait dengan Pod yang berjalan untuk memastikan kepatuhan kebijakan yang berkelanjutan.

Pelajari CV lebih lanjut.

Mengamankan Otorisasi Biner dengan Kontrol Layanan VPC

Kontrol Layanan VPC meningkatkan kemampuan Anda untuk mengurangi risiko penyalinan atau transfer data tanpa izin dari layanan dan resource yang dikelola Google.

Untuk informasi selengkapnya tentang cara mengamankan resource terkait Otorisasi Biner, lihat Mengamankan dengan Kontrol Layanan VPC.

Keamanan supply chain software

Otorisasi Biner adalah salah satu komponen Google Cloud yang dapat Anda gunakan untuk melindungi supply chain software. Anda dapat menggunakan Otorisasi Biner bersama dengan produk dan fitur Google Cloud lainnya untuk meningkatkan postur keamanan alur kerja dan alat developer, dependensi software, sistem CI/CD yang digunakan untuk mem-build dan men-deploy software, dan lingkungan runtime seperti Google Kubernetes Engine dan Cloud Run. Untuk mempelajari lebih lanjut, lihat Keamanan supply chain software.

Langkah selanjutnya

• Untuk tutorial menyeluruh dan lengkap, lihat hal berikut:
  • Mulai menggunakan konsol Google Cloud
  • Mulai menggunakan alat command line
• Konfigurasikan kebijakan Otorisasi Biner untuk Cloud Service Mesh menggunakan konsol Google Cloud atau alat command line.