Panduan memulai: Memantau keamanan Pod dengan validasi berkelanjutan

Pelajari cara memulai validasi berkelanjutan (CV) Otorisasi Biner dengan kebijakan berbasis pemeriksaan. Dalam panduan memulai ini, Anda akan menggunakan pemeriksaan CV berikut untuk terus memvalidasi Pod yang berjalan untuk kondisi berikut:

  • Direktori tepercaya: Memeriksa apakah image yang terkait dengan Pod berada di satu atau beberapa direktori tepercaya yang Anda tentukan dalam kebijakan.
  • Kesegaran gambar: Memeriksa apakah gambar Pod diupload dalam jumlah hari yang Anda tentukan dalam kebijakan.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. Install the Google Cloud CLI.
  3. To initialize the gcloud CLI, run the following command:

    gcloud init
  4. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Enable the Binary Authorization and Google Kubernetes Engine APIs:

    gcloud services enable container.googleapis.com binaryauthorization.googleapis.com
  7. Install the Google Cloud CLI.
  8. To initialize the gcloud CLI, run the following command:

    gcloud init
  9. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  10. Make sure that billing is enabled for your Google Cloud project.

  11. Enable the Binary Authorization and Google Kubernetes Engine APIs:

    gcloud services enable container.googleapis.com binaryauthorization.googleapis.com
  12. Instal alat command line kubectl.
  13. Jika kebijakan Otorisasi Biner dan cluster GKE Anda berada di project yang berbeda, pastikan Otorisasi Biner diaktifkan di kedua project.

Membuat kebijakan platform

Untuk menyiapkan kebijakan platform GKE CV, lakukan hal berikut:

  1. Buat file YAML kebijakan platform:

    cat << EOF > /tmp/my-policy.yaml
    gkePolicy:
      checkSets:
      - checks:
        - trustedDirectoryCheck:
            trustedDirPatterns:
            - us-central1-docker.pkg.dev/my-project/my-directory
          displayName: My trusted directory check
        - imageFreshnessCheck:
            maxUploadAgeDays: 30
          displayName: My image freshness check
        displayName: My trusted directory and image freshness check set
    EOF
    

    Kebijakan ini memeriksa kondisi berikut:

    • Image Pod disimpan di repositori Artifact Registry bernama us-central1-docker.pkg.dev/my-project/my-directory.

    • Image Pod diupload ke repositori Artifact Registry atau Container Registry dalam 30 hari terakhir.

  2. Buat kebijakan platform:

    gcloud beta container binauthz policy create POLICY_ID \
        --platform=gke \
        --policy-file=/tmp/my-policy.yaml \
        --project=POLICY_PROJECT_ID
    

    Ganti kode berikut:

    • POLICY_ID: ID pilihan Anda
    • POLICY_PROJECT_ID: project ID kebijakan

Membuat atau memperbarui cluster

Untuk mengaktifkan CV di cluster, Anda dapat membuat cluster baru atau mengupdate cluster yang ada.

  • Untuk membuat cluster dengan kebijakan platform berbasis pemeriksaan yang diaktifkan, jalankan perintah berikut:

    gcloud beta container clusters create CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID
    

    Ganti kode berikut:

    • CLUSTER_NAME: nama cluster
    • LOCATION: lokasi—misalnya: us-central1 atau asia-south1
    • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
    • POLICY_ID: ID kebijakan
    • CLUSTER_PROJECT_ID: project ID cluster

    Tunggu hingga cluster selesai dibuat.

  • Untuk mengupdate cluster yang ada dengan mengaktifkan kebijakan berbasis pemeriksaan, jalankan perintah berikut.

    gcloud beta container clusters update CLUSTER_NAME \
        --location=LOCATION \
        --binauthz-evaluation-mode=POLICY_BINDINGS \
        --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
        --project=CLUSTER_PROJECT_ID
    

    Ganti kode berikut:

    • CLUSTER_NAME: nama cluster
    • LOCATION: lokasi—misalnya: us-central1 atau asia-south1
    • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
    • POLICY_ID: ID kebijakan
    • CLUSTER_PROJECT_ID: project ID cluster

    Tunggu hingga cluster diperbarui.

Men-deploy image

  1. Dapatkan kredensial untuk kubectl:

    gcloud container clusters get-credentials CLUSTER_NAME
    
  2. Men-deploy image:

    kubectl run hello-app \
        --image=us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
    

    Image us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 memenuhi pemeriksaan keaktualan karena diupload ke repositori dalam 30 hari terakhir. Namun, image tidak memenuhi pemeriksaan direktori tepercaya karena tidak ada di us-central1-docker.pkg.dev/my-project/my-directory. Akibatnya, CV menghasilkan entri log TrustedDirectoryCheck di Cloud Logging.

Melihat log

Entri log akan muncul di Cloud Logging dalam waktu 24 jam setelah Pod di-deploy, tetapi dapat muncul dalam waktu beberapa jam.

Untuk melihat log di Cloud Logging, gunakan filter berikut:

logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation"
"policyName"

Log untuk Pod hello-app mirip dengan log di bawah. Beberapa kolom mungkin berbeda, bergantung pada project ID, nama cluster, dll.

{
  "insertId": "637c2de7-0000-2b64-b671-24058876bb74",
  "jsonPayload": {
    "podEvent": {
      "endTime": "2022-11-22T01:14:30.430151Z",
      "policyName": "projects/1234567890/platforms/gke/policies/my-policy",
      "images": [
        {
          "result": "DENY",
          "checkResults": [
            {
              "explanation": "TrustedDirectoryCheck at index 0 with display name \"My trusted directory check\" has verdict NOT_CONFORMANT. Image is not in a trusted directory",
              "checkSetName": "Default check set",
              "checkSetIndex": "0",
              "checkName": "My trusted directory check",
              "verdict": "NON_CONFORMANT",
              "checkType": "TrustedDirectoryCheck",
              "checkIndex": "0"
            }
          ],
          "image": "us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0"
        }
      ],
      "verdict": "VIOLATES_POLICY",
      "podNamespace": "default",
      "deployTime": "2022-11-22T01:06:53Z",
      "pod": "hello-app"
    },
    "@type": "type.googleapis.com/google.cloud.binaryauthorization.v1beta1.ContinuousValidationEvent"
  },
  "resource": {
    "type": "k8s_cluster",
    "labels": {
      "project_id": "my-project",
      "location": "us-central1-a",
      "cluster_name": "my-cluster"
    }
  },
  "timestamp": "2022-11-22T01:44:28.729881832Z",
  "severity": "WARNING",
  "logName": "projects/my-project/logs/binaryauthorization.googleapis.com%2Fcontinuous_validation",
  "receiveTimestamp": "2022-11-22T03:35:47.171905337Z"
}

Entri log menampilkan informasi tentang pelanggaran kebijakan, termasuk kolom berikut:

  • policyName: kebijakan platform yang digunakan CV saat mengidentifikasi pelanggaran
  • checkResults: blok hasil yang menyertakan kolom berikut:

    • explanation: pesan error
    • checkSetName: nilai displayName untuk kumpulan pemeriksaan
    • checkSetIndex: indeks pemeriksaan yang ditetapkan dalam kebijakan
    • checkName: nama pemeriksaan
    • checkIndex: indeks pemeriksaan dalam kumpulan pemeriksaan
    • verdict: verdict yang menghasilkan entri log, dalam hal ini NOT_CONFORMANT karena pemeriksaan tidak terpenuhi.

Beberapa pemeriksaan dapat menyertakan informasi tambahan yang dapat membantu Anda memahami alasan pemeriksaan tidak terpenuhi.

Karena gambar memenuhi pemeriksaan keaktualan, pemeriksaan keaktualan tidak muncul dalam log.

Pembersihan

Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan pada halaman ini, hapus project Google Cloud yang berisi resource tersebut.

Bagian ini menjelaskan cara membersihkan pemantauan CV yang telah Anda konfigurasikan sebelumnya dalam panduan ini.

Anda dapat menonaktifkan pemantauan CV atau Otorisasi Biner dan CV di cluster Anda.

Menonaktifkan Otorisasi Biner di cluster

Untuk menonaktifkan penerapan CV dan Otorisasi Biner di cluster Anda, jalankan perintah berikut:

gcloud beta container clusters update CLUSTER_NAME \
    --binauthz-evaluation-mode=DISABLED \
    --location=LOCATION \
    --project=CLUSTER_PROJECT_ID

Ganti kode berikut:

  • CLUSTER_NAME: nama cluster
  • LOCATION: lokasi cluster
  • CLUSTER_PROJECT_ID: project ID cluster

Menonaktifkan pemantauan kebijakan berbasis pemeriksaan di cluster

Untuk menonaktifkan CV dengan kebijakan berbasis pemeriksaan di cluster, dan mengaktifkan kembali penerapan menggunakan kebijakan penerapan Otorisasi Biner, jalankan perintah berikut:

gcloud beta container clusters update CLUSTER_NAME  \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --location=LOCATION \
    --project="CLUSTER_PROJECT_ID"

Ganti kode berikut:

  • CLUSTER_NAME: nama cluster
  • LOCATION: lokasi cluster
  • CLUSTER_PROJECT_ID: project ID cluster

Perhatikan bahwa --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE setara dengan flag --enable-binauthz yang lebih lama.

Menghapus kebijakan

Untuk menghapus kebijakan, jalankan perintah berikut. Anda tidak perlu menghapus kebijakan platform berbasis pemeriksaan untuk menonaktifkan audit kebijakan berbasis pemeriksaan.

gcloud beta container binauthz policy delete POLICY_ID \
    --platform=gke \
    --project="POLICY_PROJECT_ID"

Ganti kode berikut:

  • POLICY_ID: ID kebijakan
  • POLICY_PROJECT_ID: project ID kebijakan

Langkah selanjutnya