Panoramica di Autorizzazione binaria

Questo documento fornisce una panoramica di Autorizzazione binaria.

Che cos'è Autorizzazione binaria?

Autorizzazione binaria è un prodotto Google Cloud che puoi utilizzare per implementare misure di sicurezza della catena di fornitura del software durante lo sviluppo e il deployment basate su container.

Che cosa fa Autorizzazione binaria?

Puoi utilizzare Autorizzazione binaria per:

• Monitoraggio: puoi configurare la convalida continua (CV) con criteri della piattaforma basati su controlli (Anteprima) per monitorare periodicamente le immagini container associate ai pod in esecuzione sono conformi a un criterio definire. Se le immagini non sono conformi alle norme, CV produce di log in Cloud Logging.

• Applicazione forzata: puoi configurare l'applicazione di Autorizzazione binaria per applicare in modo forzato le immagini di cui viene eseguito il deployment in uno dei piattaforme basate su container sono conformi un criterio da te definito. Le immagini conformi alle norme sono consentite il deployment, altrimenti il loro deployment non è consentito.

Quali piattaforme supporta Autorizzazione binaria?

Autorizzazione binaria supporta le seguenti piattaforme:

• Google Kubernetes Engine (GKE): esecuzioni in cluster ospitati su Google Cloud.
• Cloud Run: esegue applicazioni containerizzate su una piattaforma serverless completamente gestita.
• Cloud Service Mesh (anteprima): gestisce un mesh di servizi affidabile on-premise o su Google Cloud.
• Software Google Distributed Cloud: esegue in modo autonomo le immagini nei cluster GKE che ospiti hardware.

Prodotti correlati ad Autorizzazione binaria

Autorizzazione binaria fa parte di un'architettura di deployment che include seguenti prodotti correlati:

• Artifact Registry, Container Registry e in altri registry che archiviano le immagini di cui vuoi eseguire il deployment.
• Analisi degli artefatti fornisce informazioni sulle vulnerabilità che puoi utilizzare Autorizzazione binaria per controllare il deployment. Separatamente, Artifact Analysis archivia metadati affidabili utilizzate nel processo di autorizzazione.
• Monitoraggio della sicurezza, un dashboard che puoi usare per valutare la strategia di sicurezza da prodotti Google Cloud interdipendenti, tra cui Autorizzazione binaria.
• Cloud Build, che produce attestazioni e provenienza Autorizzazione binaria può utilizzare per l'applicazione e il monitoraggio.
• Cloud Deploy è una distribuzione continua gestita che automatizza la distribuzione delle applicazioni a una serie di ambienti in una sequenza definita.

Autorizzazione binaria si basa su Kritis della specifica Grafeas progetto open source.

Contesto

La sicurezza della catena di fornitura del software mira a garantire che il software venga acquisito, creato testato, rilasciato e distribuito in base alle best practice interne e standard.

Le architetture basate su container consentono ai team di sviluppare basati su microservizi, ad esempio quelli basati su architetture di microservizi incoraggia l'uso di pratiche di sviluppo a breve termine, tra cui integrazione continua (CI) e deployment continuo (CD).

In un ambiente di sviluppo basato su container, è possibile eseguire il deployment delle immagini su una successione di cluster, ad esempio test, gestione temporanea e rilascio, che sono della catena di fornitura del software.

Autorizzazione binaria ha lo scopo di ridurre il rischio di deployment difettosi, vulnerabili o software non autorizzato in questo tipo di ambiente. Utilizzando questo servizio, puoi impedire il deployment delle immagini se non soddisfano un criterio definire.

Sebbene Autorizzazione binaria non prescriva processi interni o best practice ti aiuta ad applicare le tue pratiche limitando il deployment delle immagini non hanno superato i controlli richiesti.

Ciclo di vita

Un ciclo di vita del deployment per le immagini può essere costituito dalle seguenti fasi, in cui il completamento di una fase è un prerequisito per il passaggio a quello successivo uno, ad esempio:

1. Build e test delle unità
2. Deployment in un ambiente di sviluppo in cui gli utenti non sono interessati
3. Deployment in un ambiente di QA, dove solo gli utenti interni sono interessati
4. Deployment in un ambiente canary, dove solo una frazione degli utenti esterni sono interessati
5. Deployment in produzione

Ogni fase può avere un proprio ambiente di deployment, ad esempio una un cluster GKE o un progetto Google Cloud e il suo criteri che devono essere soddisfatti prima che un'immagine possa passare alla fase successiva. Autorizzazione binaria consente di definire le regole in base alle quali viene trasmessa un'immagine da una fase all'altra e offre i mezzi per applicare tali regole.

Attestazioni

I casi d'uso più comuni di Autorizzazione binaria riguardano attestazioni. Un attesta che un'immagine specifica ha completato una fase precedente, come descritti in precedenza. Configuri il criterio di Autorizzazione binaria Verificare l'attestazione prima di consentire il deployment dell'immagine. Al momento del deployment, invece di ripetere le attività completate nelle fasi precedenti, Autorizzazione binaria deve verificare solo l'attestazione.

I casi d'uso che coinvolgono le attestazioni includono i seguenti:

• Verifica build, in cui Autorizzazione binaria utilizza le attestazioni per verificare che un'immagine sia stata creata da un sistema di compilazione specifico una pipeline di integrazione continua (CI).

  Per scoprire come configurare una pipeline CI, basata su Cloud Build, può Creare un'attestazione, consulta Integrazione di Cloud Build.

• Analisi delle vulnerabilità, in cui l'immagine creata da CI è stata anche analizzati per rilevare le vulnerabilità da parte di Artifact Analysis. In questo caso, l'attestazione viene creata solo se le vulnerabilità identificate in base a un criterio di firma delle vulnerabilità.

  Scopri come configurare una pipeline CI per l'analisi delle vulnerabilità con Voucher o Kritis Signer.

• Controllo manuale, in cui una persona, ad esempio un rappresentante QA, esegue manualmente crea l'attestazione.

  Per scoprire come creare manualmente un'attestazione, consulta Crea attestazioni.

Consulta la Guida introduttiva all'utilizzo della console Google Cloud per tutorial sull'attestazione end-to-end.

Funzionalità

Autorizzazione binaria fornisce:

• Un modello di criteri che ti consente di descrivere vincoli in base ai quali eseguire il deployment delle immagini
• Un modello di attestazione che ti consente di definire autorità di fiducia che possano attestare o verificare che i processi richiesti nel tuo dell'ambiente di lavoro sono stati completati prima del deployment.
• Un applicazione forzata in fase di deployment che impedisce le immagini che violano il criterio il deployment

Modello dei criteri

Autorizzazione binaria implementa un modello di criteri, in cui un criterio è un insieme di regole che regola il deployment delle immagini container. Regole in una norma forniscono criteri specifici che un'immagine deve soddisfare prima di poter il deployment.

Per ulteriori informazioni sul modello dei criteri di Autorizzazione binaria e su altri vedi Concetti principali.

Configurazione

Per configurare Autorizzazione binaria, devi prima abilitare il servizio per Progetti Google Cloud che costituiscono il deployment e l'autorizzazione una pipeline o un blocco note personalizzato.

Poi devi definire il criterio che specifica i vincoli in base al quale eseguire il deployment delle immagini. Se il criterio richiede attestazioni prima del deployment, devi anche configurare attestatori che possano verificare le attestazioni prima di consentire di cui eseguire il deployment.

Per configurare Autorizzazione binaria, consulta le seguenti guide:

• Configura Autorizzazione binaria su GKE
• Configura Autorizzazione binaria su Distributed Cloud (anteprima)
• Configura Autorizzazione binaria su Cloud Run

Autorizzazione

Prima di poter eseguire il deployment di un'immagine, tutti i firmatari richiesti devono creare un'attestazione che verifica che l'immagine sia pronta per il passaggio alla successiva durante la fase di deployment. L'attestazione è un record che contiene il registro del percorso e del digest dell'immagine, che è stata firmata digitalmente chiave di crittografia privata del firmatario.

Per saperne di più sull'autorizzazione, consulta Utilizzare le attestazioni.

Applicazione

Quando esegui il deployment di un'immagine, Autorizzazione binaria controlla il criterio forza l'applicazione di tutte le regole rilevate che ne regolano il deployment.

Se l'immagine trasmette i vincoli definiti nel criterio, Autorizzazione binaria ne consente il deployment. In caso contrario, il servizio blocca il deployment e scrive un a Cloud Audit Logs che descrive perché l'immagine non è più conformità.

Per visualizzare gli eventi di applicazione di Autorizzazione binaria in Cloud Audit Logs: consulta le seguenti guide:

• Visualizza audit log (GKE)
• Visualizza audit log (Cloud Run)
• Visualizza audit log (Distributed Cloud) (anteprima)

Per ulteriori informazioni sul deployment, consulta le seguenti guide:

• Eseguire il deployment dei container (GKE)
• Esegui il deployment dei container (esempio Distributed Cloud) (anteprima)
• Usa Autorizzazione binaria con Cloud Run

Convalida continua

La convalida continua (CV) con criteri della piattaforma basati su controllo è una funzionalità di Autorizzazione binaria che controlla periodicamente i metadati delle immagini container associate a per mantenere la conformità ai criteri.

Scopri di più sui CV.

Autorizzazione binaria sicura con i Controlli di servizio VPC

Controlli di servizio VPC migliora la capacità di Ridurre il rischio di copiare o trasferire i dati non autorizzati dal tuo Risorse e servizi gestiti da Google.

Per saperne di più sulla protezione delle risorse relative ad Autorizzazione binaria, consulta Sicurezza con i Controlli di servizio VPC.

Software Delivery Shield

Autorizzazione binaria fa parte di Software Delivery Shield soluzione. Software Delivery Shield è una piattaforma end-to-end completamente gestita che aiuta a migliorare la sicurezza della catena di fornitura del software. postura dei flussi di lavoro e degli strumenti degli sviluppatori, dipendenze software, sistemi CI/CD utilizzati per creare ed eseguire il deployment del software e ambienti di runtime come Google Kubernetes Engine e Cloud Run. Per scoprire come utilizzare Autorizzazione binaria con altri componenti di Software Delivery Shield per migliorare la postura di sicurezza dei tuoi della catena di fornitura del software, vedi Panoramica di Software Delivery Shield.

Passaggi successivi

• Per tutorial completi end-to-end, consulta quanto segue:
  • Inizia a utilizzare la console Google Cloud
  • Inizia a utilizzare lo strumento a riga di comando
• Configura un criterio di Autorizzazione binaria per Cloud Service Mesh (anteprima) utilizzando la console Google Cloud o lo strumento a riga di comando.