Binary Authorization の概要

このドキュメントでは、Binary Authorization の概要について説明します。

Binary Authorization とは

Binary Authorization は、コンテナベースのアプリケーションを開発してデプロイするときに、ソフトウェア サプライ チェーンのセキュリティ対策を実装するために使用できる Google Cloud プロダクトです。

Binary Authorization の機能

Binary Authorization を使用すると、次のことができます。

• モニタリング: 継続的検証（CV）（プレビュー）を構成すると、実行中の Pod に関連付けられたコンテナ イメージが、管理者が作成したポリシーを遵守しているかどうかを定期的にモニタリングできます。イメージがポリシーを遵守していない場合、CV は Cloud Logging にログエントリを生成します。

• 適用: Binary Authorization の適用を構成して、サポートされているコンテナベースのプラットフォームに、定義したポリシーを遵守しているイメージがデプロイされるようにします。ポリシーを遵守するイメージのデプロイは許可され、それ以外のイメージはデプロイが拒否されます。

Binary Authorization がサポートするプラットフォーム

Binary Authorization は、次のプラットフォームをサポートしています。

• Google Kubernetes Engine（GKE）: Google Cloud でホストされているクラスタでイメージを実行します。
• Cloud Run: フルマネージドのサーバーレス プラットフォーム上で、コンテナ化されたアプリケーションを実行します。
• Anthos Service Mesh（プレビュー）: オンプレミスまたは Google Cloud で信頼性の高いサービス メッシュを管理します。
• GKE クラスタ: GKE クラスタでイメージを実行します。

Binary Authorization 関連プロダクト

Binary Authorization は、次の関連プロダクトを含むデプロイ アーキテクチャの一部です。

• Artifact Registry、Container Registry、デプロイするイメージを格納するその他のレジストリ。
• Artifact Analysis。デプロイを制御するために Binary Authorization で使用できる脆弱性情報を提供します。これとは別に、Artifact Analysis は、認証プロセスで使用される、信頼できるメタデータを保存します。
• セキュリティ モニタリング。Binary Authorization など、相互に関連する Google Cloud プロダクト全体のアプリケーションのセキュリティ ポスチャーを評価できるダッシュボード。
• Cloud Build。Binary Authorization が適用とモニタリングに使用できる証明書と来歴を生成します。
• Cloud Deploy は継続的デリバリーを実現するマネージド サービスで、定義した順序で、一連のターゲット環境へのアプリケーションの配信を自動化します。

Binary Authorization は、Grafeas オープンソース プロジェクトの一部である Kritis 仕様に基づいています。

背景

ソフトウェア サプライ チェーンのセキュリティは、内部のベスト プラクティスと標準に従い、ソフトウェアが確実に調達、構築、テスト、リリース、デプロイされるようにすることを目的としています。

コンテナベースのアーキテクチャを使用すると、マイクロサービス アーキテクチャをベースとするシステムなど、高度に分離されたシステムを開発し、継続的インテグレーション（CI）や継続的デプロイ（CD）など、ライフサイクルの短い開発手法を使用できます。

コンテナベースの開発環境では、ソフトウェア サプライ チェーンの一部である一連のクラスタ（テスト、ステージング、リリースなど）にイメージをデプロイできます。

Binary Authorization は、このような環境で不良なソフトウェア、脆弱性のあるソフトウェア、不正なソフトウェアをデプロイするリスクを軽減することを目的としています。このサービスを使用することで、定義したポリシーを満たさない場合にイメージがデプロイされないようにすることができます。

Binary Authorization では、内部プロセスやベスト プラクティスを規定していませんが、必要なチェックに合格していないイメージのデプロイを制限することで、独自のプラクティスを適用できます。

ライフサイクル

イメージのデプロイ ライフサイクルは次のステージで構成されます。ステージを完了することは、次のステージに進むための前提条件です。次に例を示します。

1. ビルドと単体テスト
2. ユーザーが影響を受けない開発環境へのデプロイ
3. 社内ユーザーのみが影響を受ける QA 環境へのデプロイ
4. 一部の外部ユーザーのみが影響を受けるカナリア環境へのデプロイ
5. 本番環境へのデプロイ

各ステージには独自のデプロイ環境（GKE クラスタや Google Cloud プロジェクトなど）があり、イメージが次のステージに進む前に満たす必要がある、独自の基準があります。Binary Authorization では、あるステージから別のステージにイメージを渡すルールを定義し、これらのルールを適用できます。

証明書

Binary Authorization の最も一般的なユースケースは証明書に関するものです。前半で説明したように、証明書は、特定のイメージが前のステージを完了したことを証明するものです。イメージのデプロイを許可する前に証明書を検証するように Binary Authorization ポリシーを構成します。デプロイ時に、前のステージで完了したアクティビティをやり直す必要はなく、Binary Authorization で証明書を検証するだけで済みます。

証明書に関連するユースケースとしては、次のものがあります。

• ビルド検証。Binary Authorization が証明書を使用して、特定のビルドシステムまたは継続的インテグレーション（CI）パイプラインによってイメージがビルドされたことを検証します。

  Cloud Build に基づいて、証明書を作成可能な CI パイプラインを設定する方法については、Cloud Build の統合をご覧ください。

• 脆弱性スキャン。CI によってビルドされたイメージも Artifact Analysis によって脆弱性スキャンされます。この場合、検出された脆弱性が脆弱性署名ポリシーを満たしている場合にのみ、証明書が作成されます。

  Voucher または Kritis Signer を使用して脆弱性スキャン CI パイプラインを設定する方法を確認してください。

• 手動チェック。QA 担当者などが証明書を手動で作成します。

  証明書を手動で作成する方法については、証明書の作成をご覧ください。

証明書のエンドツーエンドのチュートリアルについては、Google Cloud Console のスタートガイドをご覧ください。

機能

Binary Authorization は次の機能を提供します。

• ポリシーモデル。イメージのデプロイを制限するための条件を記述します。
• 証明書モデル。デプロイ前に環境内で必要なプロセスが完了していることを証明または検証する信頼できる機関を定義します。
• デプロイ時に、ポリシー違反のイメージのデプロイを防ぐ適用者

ポリシーモデル

Binary Authorization はポリシーモデルを実装します。ポリシーは、コンテナ イメージのデプロイを制御する一連のルールです。ポリシー内のルールには、イメージをデプロイする前に満たす必要がある条件を指定します。

Binary Authorization ポリシーモデルとその他のコンセプトの詳細については、主なコンセプトをご覧ください。

設定

Binary Authorization を設定するには、まず、デプロイと認証のパイプラインを構成する Google Cloud プロジェクトのサービスを有効にする必要があります。

コンテナ イメージをデプロイできる条件を示すポリシーを定義します。ポリシーでデプロイ前に証明書が要求される場合は、関連するイメージのデプロイを許可する前に証明書の検証を行う認証者を設定する必要があります。

Binary Authorization を設定するには、次のガイドをご覧ください。

• GKE で Binary Authorization を設定する
• GKE クラスタで Binary Authorization を設定する（プレビュー）
• Cloud Run で Binary Authorization を設定する

承認

イメージをデプロイする前に、イメージが次のデプロイ ステージに進む準備ができていることを証明する証明書を、所定の署名者が作成する必要があります。証明書は、イメージのレジストリパスとダイジェストを含むレコードです。署名者の秘密暗号鍵を使用してデジタル署名されます。

認証の詳細については、証明書を使用するをご覧ください。

適用

イメージをデプロイすると、Binary Authorization がポリシーを確認し、デプロイの制御ルールを適用します。

イメージがポリシーに定義されている制約を満たしている場合、Binary Authorization はイメージのデプロイを許可します。満たしていない場合、デプロイをブロックし、イメージがポリシーを遵守していない理由を説明するメッセージを Cloud Audit Logs に書き込みます。

Cloud Audit Logs で Binary Authorization 適用イベントを表示するには、次のガイドをご覧ください。

• 監査ログを表示する（GKE）
• 監査ログを表示する（Cloud Run）
• 監査ログを表示する（GKE クラスタ）（プレビュー）

デプロイの詳細については、次のガイドをご覧ください。

• コンテナをデプロイする（GKE）
• コンテナをデプロイする（GKE クラスタの例）（プレビュー）
• Cloud Run で Binary Authorization を使用する

継続的検証

継続的検証（CV）は、Binary Authorization の機能です。ポリシーの遵守を継続するために、実行されている Pod に関連付けられたコンテナ イメージを定期的にチェックします。

CV の詳細を確認してください。

VPC Service Controls による Binary Authorization の保護

VPC Service Controls を使用すると、Google が管理するサービスやリソースからのデータの不正コピーや転送のリスクを軽減できます。

Binary Authorization 関連リソースの保護の詳細については、VPC Service Controls による保護をご覧ください。

ソフトウェア デリバリー シールド

Binary Authorization は、ソフトウェア デリバリー シールド ソリューションの一部です。ソフトウェア デリバリー シールドは、フルマネージドのエンドツーエンド ソフトウェア サプライ チェーン セキュリティ ソリューションです。ソフトウェアの構築とデプロイに使用するデベロッパー ワークフローとツール、ソフトウェアの依存関係、CI/CD システム、およびランタイム環境（Google Kubernetes Engine や Cloud Run など）のセキュリティ対策の改善に役立ちます。ソフトウェア デリバリー シールドのその他のコンポーネントで Binary Authorization を使用して、ソフトウェア サプライ チェーンのセキュリティ ポスチャーを改善する方法については、ソフトウェア デリバリー シールドの概要をご覧ください。

次のステップ

• 全体を網羅した詳細なチュートリアルについては、以下をご覧ください。
  • Google Cloud コンソールの使用を開始する
  • コマンドライン ツールの使用を開始する
• Google Cloud コンソールまたはコマンドライン ツールを使用して、Anthos Service Mesh に Binary Authorization ポリシーを構成する（プレビュー）