Dokumen ini memberikan ringkasan tentang Otorisasi Biner.
Apa itu Otorisasi Biner?
Otorisasi Biner adalah produk Google Cloud yang dapat Anda gunakan untuk mengimplementasikan langkah-langkah keamanan supply chain software saat Anda mengembangkan dan men-deploy aplikasi berbasis container.
Apa fungsi Otorisasi Biner?
Anda dapat menggunakan Otorisasi Biner untuk melakukan hal berikut:
Monitor: Anda dapat mengonfigurasi validasi berkelanjutan (CV) (Pratinjau) untuk memantau secara berkala bahwa image container yang terkait dengan Pod yang berjalan sesuai dengan kebijakan yang Anda tentukan. Jika image tidak sesuai dengan kebijakan, CV akan menghasilkan entri log di Cloud Logging.
Penerapan: Anda dapat mengonfigurasi Penerapan Otorisasi Biner untuk memastikan bahwa image yang di-deploy ke salah satu platform berbasis container yang didukung sesuai dengan kebijakan yang Anda tentukan. Gambar yang sesuai dengan kebijakan diizinkan untuk di-deploy; jika tidak, gambar tersebut tidak boleh di-deploy.
Platform apa yang didukung Otorisasi Biner?
Otorisasi Biner mendukung platform berikut:
- Google Kubernetes Engine (GKE): menjalankan image dalam cluster yang dihosting di Google Cloud.
- Cloud Run: menjalankan aplikasi dalam container pada platform serverless yang terkelola sepenuhnya.
- Anthos Service Mesh (Pratinjau): mengelola mesh layanan yang andal di infrastruktur lokal atau di Google Cloud.
- Cluster GKE: menjalankan image di cluster GKE.
Produk terkait Otorisasi Biner
Otorisasi Biner adalah bagian dari arsitektur deployment yang mencakup produk-produk terkait berikut ini:
- Artifact Registry, Container Registry, dan registry lain yang menyimpan image yang ingin Anda deploy.
- Artifact Analysis menyediakan informasi kerentanan yang dapat Anda gunakan dengan Otorisasi Biner untuk mengontrol deployment. Secara terpisah, Analisis Artefak menyimpan metadata tepercaya yang digunakan dalam proses otorisasi.
- Pemantauan keamanan, dasbor yang dapat Anda gunakan untuk menilai postur keamanan aplikasi di seluruh produk Google Cloud yang saling bergantung, termasuk Otorisasi Biner.
- Cloud Build, yang menghasilkan pengesahan dan provenance yang dapat digunakan Otorisasi Biner untuk penerapan dan pemantauan.
- Cloud Deploy adalah layanan continuous delivery terkelola, yang mengotomatiskan pengiriman aplikasi ke serangkaian lingkungan target dalam urutan yang ditentukan.
Otorisasi Biner didasarkan pada spesifikasi Kritis, yang merupakan bagian dari project open source Grafeas.
Latar belakang
Keamanan supply chain software bertujuan untuk memastikan bahwa software disediakan, dibangun, diuji, dirilis, dan di-deploy sesuai dengan praktik terbaik dan standar internal.
Arsitektur berbasis container memungkinkan tim mengembangkan sistem yang sangat terpisah—misalnya yang didasarkan pada arsitektur microservice—dan mendorong penggunaan praktik pengembangan siklus proses singkat, termasuk continuous integration (CI) dan deployment berkelanjutan (CD).
Dalam lingkungan pengembangan berbasis container, image dapat di-deploy pada serangkaian cluster, seperti pengujian, staging, dan rilis, yang merupakan bagian dari supply chain software.
Otorisasi Biner bertujuan untuk mengurangi risiko deployment software yang rusak, rentan, atau tidak sah dalam jenis lingkungan ini. Dengan layanan ini, Anda dapat mencegah image di-deploy kecuali jika memenuhi kebijakan yang Anda tentukan.
Meskipun Otorisasi Biner tidak menentukan proses internal atau praktik terbaik, Otorisasi Biner membantu Anda menegakkan praktik Anda sendiri dengan membatasi deployment image yang belum lulus pemeriksaan yang diwajibkan.
Siklus proses
Siklus proses deployment untuk image dapat terdiri dari beberapa tahap berikut, di mana menyelesaikan satu tahap adalah prasyarat untuk melanjutkan ke tahap berikutnya, misalnya:
- Pengujian build dan unit
- Deployment ke lingkungan pengembangan yang tidak memengaruhi pengguna
- Deployment ke lingkungan UM (Uji Mutu), yang hanya memengaruhi pengguna internal
- Deployment ke lingkungan canary, yang hanya memengaruhi sebagian kecil pengguna eksternal
- Deployment ke produksi
Setiap tahap dapat memiliki lingkungan deployment-nya sendiri, misalnya cluster GKE atau project Google Cloud, dan kriterianya sendiri yang harus dipenuhi sebelum image dapat berpindah ke tahap berikutnya. Dengan Otorisasi Biner, Anda dapat menentukan aturan yang digunakan gambar untuk berpindah dari satu tahap ke tahap lainnya, dan memberikan sarana untuk menegakkan aturan tersebut.
Pengesahan
Kasus penggunaan Otorisasi Biner yang paling umum melibatkan attestations. Pengesahan menyatakan bahwa gambar tertentu telah menyelesaikan tahap sebelumnya, seperti yang dijelaskan sebelumnya. Anda mengonfigurasi kebijakan Otorisasi Biner untuk memverifikasi pengesahan sebelum mengizinkan image di-deploy. Pada waktu deployment, Otorisasi Biner hanya perlu memverifikasi pengesahan, bukan mengulangi aktivitas yang telah diselesaikan pada tahap sebelumnya.
Kasus penggunaan yang melibatkan pengesahan mencakup hal berikut:
Verifikasi build, saat Otorisasi Biner menggunakan pengesahan untuk memverifikasi bahwa image dibuat oleh sistem build tertentu atau pipeline continuous integration (CI).
Untuk mempelajari cara menyiapkan pipeline CI, berdasarkan Cloud Build, yang dapat membuat pengesahan, lihat Integrasi Cloud Build.
Pemindaian kerentanan, di mana image yang dibangun CI juga telah dipindai untuk mendeteksi kerentanan oleh Artifact Analysis. Dalam hal ini, pengesahan hanya dibuat jika kerentanan yang teridentifikasi memenuhi kebijakan penandatanganan kerentanan.
Pelajari cara menyiapkan pipeline CI pemindaian kerentanan dengan Voucher atau Kritis Signer.
Pemeriksaan manual, saat seseorang, misalnya, perwakilan UM (Uji Mutu), membuat pengesahan secara manual.
Untuk mempelajari cara membuat pengesahan secara manual, lihat Membuat pengesahan.
Lihat Mulai menggunakan Konsol Google Cloud untuk tutorial pengesahan menyeluruh.
Fitur
Otorisasi Biner menyediakan:
- Model kebijakan yang memungkinkan Anda menjelaskan batasan tempat gambar dapat di-deploy
- Model pengesahan yang memungkinkan Anda menentukan otoritas tepercaya yang dapat mengesahkan atau memverifikasi bahwa proses yang diperlukan di lingkungan Anda telah selesai sebelum deployment
- Penegak waktu deploy yang mencegah deployment image yang melanggar kebijakan
Model kebijakan
Otorisasi Biner menerapkan model kebijakan, dengan kebijakan adalah serangkaian aturan yang mengatur deployment image container. Aturan dalam kebijakan memberikan kriteria tertentu yang harus dipenuhi oleh gambar sebelum dapat di-deploy.
Untuk informasi selengkapnya tentang model kebijakan Otorisasi Biner dan konsep lainnya, lihat Konsep utama.
Penyiapan
Untuk menyiapkan Otorisasi Biner, Anda harus terlebih dahulu mengaktifkan layanan untuk project Google Cloud yang mencakup pipeline deployment dan otorisasi Anda.
Selanjutnya, Anda menentukan kebijakan yang menentukan batasan tempat image container dapat di-deploy. Jika kebijakan Anda memerlukan pengesahan sebelum deployment, Anda juga harus menyiapkan attestor yang dapat memverifikasi pengesahan sebelum mengizinkan image terkait untuk di-deploy.
Untuk menyiapkan Otorisasi Biner, lihat panduan berikut:
- Menyiapkan Otorisasi Biner di GKE
- Menyiapkan Otorisasi Biner di cluster GKE (Pratinjau)
- Menyiapkan Otorisasi Biner di Cloud Run
Otorisasi
Sebelum image dapat di-deploy, semua penanda tangan yang diperlukan harus membuat pengesahan yang memverifikasi bahwa image siap untuk dipindahkan ke tahap deployment berikutnya. Pengesahan ini merupakan data yang berisi jalur registry dan ringkasan image, serta yang telah ditandatangani secara digital menggunakan kunci kriptografis pribadi penanda tangan.
Untuk mengetahui informasi selengkapnya tentang otorisasi, lihat Menggunakan pengesahan.
Penerapan
Saat Anda men-deploy image, Otorisasi Biner akan memeriksa kebijakan dan menerapkan aturan yang ditemukannya untuk mengatur deployment-nya.
Jika image melewati batasan yang ditentukan dalam kebijakan, Otorisasi Biner akan mengizinkannya untuk di-deploy. Jika tidak, layanan akan memblokir deployment dan menulis pesan ke Cloud Audit Logs yang menjelaskan alasan image tidak mematuhi kebijakan.
Untuk melihat peristiwa penerapan Otorisasi Biner di Cloud Audit Logs, lihat panduan berikut:
Untuk mengetahui informasi selengkapnya tentang deployment, lihat panduan berikut:
- Men-deploy container (GKE)
- Men-deploy container (contoh cluster GKE) (Pratinjau)
- Menggunakan Otorisasi Biner dengan Cloud Run
Validasi berkelanjutan
Validasi Berkelanjutan (CV) adalah fitur Otorisasi Biner yang secara berkala memeriksa image container yang terkait dengan Pod yang berjalan untuk memastikan kepatuhannya terhadap kebijakan.
Otorisasi Biner yang Aman dengan Kontrol Layanan VPC
Kontrol Layanan VPC meningkatkan kemampuan Anda untuk mengurangi risiko penyalinan atau transfer data tanpa izin dari layanan dan resource Anda yang dikelola Google.
Untuk informasi selengkapnya tentang cara mengamankan resource terkait Otorisasi Biner, lihat Aman dengan Kontrol Layanan VPC.
Perlindungan Pengiriman Software
Otorisasi Biner adalah bagian dari solusi Perlindungan Pengiriman Software. Software Delivery Shield adalah solusi keamanan supply chain software menyeluruh yang terkelola sepenuhnya, yang membantu Anda meningkatkan potensi keamanan pada alat dan alur kerja developer, dependensi software, sistem CI/CD yang digunakan untuk mem-build dan men-deploy software, serta lingkungan runtime seperti Google Kubernetes Engine dan Cloud Run. Untuk mempelajari cara menggunakan Otorisasi Biner dengan komponen Perlindungan Pengiriman Software lainnya guna meningkatkan postur keamanan supply chain software Anda, lihat Ringkasan Perlindungan Pengiriman Software.
Langkah selanjutnya
- Untuk tutorial lengkap dan menyeluruh, lihat referensi berikut:
- Konfigurasikan kebijakan Otorisasi Biner untuk Anthos Service Mesh (Pratinjau) menggunakan Google Cloud Console atau alat command line.