Panduan memulai: Memantau keamanan Pod dengan validasi berkelanjutan

Pelajari cara memulai validasi berkelanjutan (CV) Otorisasi Biner dengan kebijakan berbasis pemeriksaan. Dalam panduan memulai ini, Anda dapat menggunakan pemeriksaan CV berikut untuk terus memvalidasi Pod yang berjalan untuk kondisi berikut:

  • Direktori tepercaya: Memeriksa apakah image yang terkait dengan Pod dibuat dari satu atau beberapa direktori tepercaya yang Anda tentukan dalam kebijakan.
  • Keaktualan gambar: Memeriksa apakah gambar Pod diupload dalam jumlah hari yang Anda tentukan dalam kebijakan.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
  2. Menginstal Google Cloud CLI.

  3. Untuk initialize gcloud CLI, jalankan perintah berikut: 

    gcloud init

  4. Buat atau pilih project Google Cloud.

    • Membuat project Google Cloud:

      gcloud projects create PROJECT_ID

      Ganti PROJECT_ID dengan nama untuk project Google Cloud yang Anda buat.

    • Pilih project Google Cloud yang Anda buat:

      gcloud config set project PROJECT_ID

      Ganti PROJECT_ID dengan nama project Google Cloud Anda.

  5. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  6. Aktifkan API Binary Authorization and Google Kubernetes Engine: 

    gcloud services enable container.googleapis.com binaryauthorization.googleapis.com
  7. Menginstal Google Cloud CLI.

  8. Untuk initialize gcloud CLI, jalankan perintah berikut: 

    gcloud init

  9. Buat atau pilih project Google Cloud.

    • Membuat project Google Cloud:

      gcloud projects create PROJECT_ID

      Ganti PROJECT_ID dengan nama untuk project Google Cloud yang Anda buat.

    • Pilih project Google Cloud yang Anda buat:

      gcloud config set project PROJECT_ID

      Ganti PROJECT_ID dengan nama project Google Cloud Anda.

  10. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  11. Aktifkan API Binary Authorization and Google Kubernetes Engine: 

    gcloud services enable container.googleapis.com binaryauthorization.googleapis.com
  12. Instal alat command line kubectl.
  13. Jika kebijakan Otorisasi Biner dan cluster GKE berada di project yang berbeda, pastikan Otorisasi Biner diaktifkan di kedua project.

Membuat kebijakan platform

Untuk menyiapkan kebijakan platform CV GKE, lakukan langkah berikut:

  1. Buat file YAML kebijakan platform:

    cat << EOF > /tmp/my-policy.yaml
gkePolicy:
  checkSets:
  - checks:
    - trustedDirectoryCheck:
        trustedDirPatterns:
        - us-central1-docker.pkg.dev/my-project/my-directory
      displayName: My trusted directory check
    - imageFreshnessCheck:
        maxUploadAgeDays: 30
      displayName: My image freshness check
    displayName: My trusted directory and image freshness check set
EOF

    Pemeriksaan direktori tepercaya ini memeriksa kondisi berikut:

    • Image Pod disimpan di repositori Artifact Registry bernama us-central1-docker.pkg.dev/my-project/my-directory.

    • Image Pod telah diupload ke repositori Artifact Registry atau Container Registry dalam 30 hari terakhir.

  2. Buat kebijakan platform:

    gcloud beta container binauthz policy create POLICY_ID \
    --platform=gke \
    --policy-file=/tmp/my-policy.yaml \
    --project=POLICY_PROJECT_ID

    Ganti kode berikut:

    • POLICY_ID: ID pilihan Anda
    • POLICY_PROJECT_ID: project ID kebijakan

Membuat atau mengupdate cluster

Untuk mengaktifkan CV di cluster, Anda dapat membuat cluster baru atau memperbarui cluster yang ada.

  • Untuk membuat cluster dengan kebijakan platform berbasis pemeriksaan yang diaktifkan, jalankan perintah berikut:

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

    Ganti kode berikut:

    • CLUSTER_NAME: nama cluster
    • LOCATION: lokasi—misalnya: us-central1 atau asia-south1
    • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
    • POLICY_ID: ID kebijakan
    • CLUSTER_PROJECT_ID: ID project cluster

    Tunggu hingga cluster selesai dibuat.

  • Untuk memperbarui cluster yang ada dengan mengaktifkan kebijakan berbasis pemeriksaan, jalankan perintah berikut.

    gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

    Ganti kode berikut:

    • CLUSTER_NAME: nama cluster
    • LOCATION: lokasi—misalnya: us-central1 atau asia-south1
    • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
    • POLICY_ID: ID kebijakan
    • CLUSTER_PROJECT_ID: ID project cluster

    Tunggu hingga cluster diperbarui.

Men-deploy image

  1. Dapatkan kredensial untuk kubectl:

    gcloud container clusters get-credentials CLUSTER_NAME

  2. Men-deploy gambar:

    kubectl run hello-app \
    --image=us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

    Gambar us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 memenuhi pemeriksaan keaktualan karena diupload ke repositori dalam 30 hari terakhir. Namun, gambar tidak memenuhi pemeriksaan direktori tepercaya karena tidak ada dalam us-central1-docker.pkg.dev/my-project/my-directory. Akibatnya, CV menghasilkan entri log TrustedDirectoryCheck di Cloud Logging.

Melihat log

Entri log akan muncul di Cloud Logging dalam waktu 24 jam setelah Pod di-deploy, tetapi dapat muncul hanya dalam beberapa jam.

Untuk melihat log di Cloud Logging, gunakan filter berikut:

logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation"
"policyName"

Log untuk Pod hello-app mirip dengan yang ada di bawah ini. Beberapa kolom mungkin berbeda, bergantung pada project ID Anda, nama cluster, dll.

{
  "insertId": "637c2de7-0000-2b64-b671-24058876bb74",
  "jsonPayload": {
    "podEvent": {
      "endTime": "2022-11-22T01:14:30.430151Z",
      "policyName": "projects/1234567890/platforms/gke/policies/my-policy",
      "images": [
        {
          "result": "DENY",
          "checkResults": [
            {
              "explanation": "TrustedDirectoryCheck at index 0 with display name \"My trusted directory check\" has verdict NOT_CONFORMANT. Image is not in a trusted directory",
              "checkSetName": "Default check set",
              "checkSetIndex": "0",
              "checkName": "My trusted directory check",
              "verdict": "NON_CONFORMANT",
              "checkType": "TrustedDirectoryCheck",
              "checkIndex": "0"
            }
          ],
          "image": "us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0"
        }
      ],
      "verdict": "VIOLATES_POLICY",
      "podNamespace": "default",
      "deployTime": "2022-11-22T01:06:53Z",
      "pod": "hello-app"
    },
    "@type": "type.googleapis.com/google.cloud.binaryauthorization.v1beta1.ContinuousValidationEvent"
  },
  "resource": {
    "type": "k8s_cluster",
    "labels": {
      "project_id": "my-project",
      "location": "us-central1-a",
      "cluster_name": "my-cluster"
    }
  },
  "timestamp": "2022-11-22T01:44:28.729881832Z",
  "severity": "WARNING",
  "logName": "projects/my-project/logs/binaryauthorization.googleapis.com%2Fcontinuous_validation",
  "receiveTimestamp": "2022-11-22T03:35:47.171905337Z"
}

Entri log menampilkan informasi tentang pelanggaran kebijakan, termasuk kolom berikut:

  • policyName: kebijakan platform yang digunakan CV saat mengidentifikasi pelanggaran

  • checkResults: blok hasil yang menyertakan kolom berikut:

    • explanation: pesan error
    • checkSetName: nilai displayName untuk kumpulan pemeriksaan
    • checkSetIndex: indeks pemeriksaan yang ditetapkan dalam kebijakan
    • checkName: nama cek
    • checkIndex: indeks pemeriksaan dalam kumpulan pemeriksaan
    • verdict: verdict yang menghasilkan entri log, dalam hal ini NOT_CONFORMANT karena pemeriksaan tidak terpenuhi.

Beberapa pemeriksaan dapat menyertakan informasi tambahan yang dapat membantu Anda memahami alasan pemeriksaan tidak terpenuhi.

Karena gambar memenuhi pemeriksaan keaktualan, pemeriksaan keaktualan tidak akan muncul di log.

Pembersihan

Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan pada halaman ini, hapus project Google Cloud yang berisi resource tersebut.

Bagian ini menjelaskan cara membersihkan pemantauan CV yang Anda konfigurasikan sebelumnya dalam panduan ini.

Anda dapat menonaktifkan pemantauan CV atau Otorisasi Biner dan CV di cluster Anda.

Menonaktifkan Otorisasi Biner di cluster

Untuk menonaktifkan penerapan CV dan Otorisasi Biner di cluster Anda, jalankan perintah berikut:

gcloud beta container clusters update CLUSTER_NAME \
    --binauthz-evaluation-mode=DISABLED \
    --location=LOCATION \
    --project=CLUSTER_PROJECT_ID

Ganti kode berikut:

  • CLUSTER_NAME: nama cluster
  • LOCATION: lokasi cluster
  • CLUSTER_PROJECT_ID: ID project cluster

Menonaktifkan pemantauan kebijakan berbasis pemeriksaan di cluster

Untuk menonaktifkan CV dengan kebijakan berbasis pemeriksaan di cluster, dan mengaktifkan kembali penerapan menggunakan kebijakan penerapan Otorisasi Biner, jalankan perintah berikut:

gcloud beta container clusters update CLUSTER_NAME  \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --location=LOCATION \
    --project="CLUSTER_PROJECT_ID"

Ganti kode berikut:

  • CLUSTER_NAME: nama cluster
  • LOCATION: lokasi cluster
  • CLUSTER_PROJECT_ID: ID project cluster

Perhatikan bahwa --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE setara dengan flag lama --enable-binauthz.

Menghapus kebijakan

Untuk menghapus kebijakan, jalankan perintah berikut. Anda tidak perlu menghapus kebijakan platform berbasis pemeriksaan untuk menonaktifkan audit kebijakan berbasis pemeriksaan.

gcloud beta container binauthz policy delete POLICY_ID \
    --platform=gke \
    --project="POLICY_PROJECT_ID"

Ganti kode berikut:

  • POLICY_ID: ID kebijakan
  • POLICY_PROJECT_ID: project ID kebijakan

Langkah selanjutnya