2021 年の Accelerate State of DevOps Report を公開しました。レポートをダウンロードして、優れたパフォーマーになる方法をご確認ください。

Binary Authorization

コンテナとサーバーレスの信頼できるワークロードのみをデプロイします。

このプロダクトのドキュメントを見る

Binary Authorization の概要のロゴ

概要

Binary Authorization は、Google Kubernetes Engine(GKE)や Cloud Run に信頼できるコンテナ イメージのみをデプロイするためのデプロイ時セキュリティ コントロールです。Binary Authorization を使用すると、開発プロセス中に信頼できる機関によるイメージへの署名を必須にして、デプロイ時にその署名を検証できます。検証を実施することで、検証済みのイメージのみをビルド&リリースプロセスに組み込むことができ、コンテナ環境をより厳密に制御することができます。
コンテナのリリース業務標準化のロゴ

コンテナのリリース業務を標準化する

Binary Authorization を使用すると、DevOps チームは、明示的に許可されたコンテナ イメージのみがデプロイされることを保証できます。デプロイ前にイメージを検証することで、意図しないコードや悪意のあるコードが環境内で実行されるリスクを低減できます。

予防的なセキュリティ対策導入のロゴ

予防的なセキュリティ対策を導入する

Binary Authorization では、検証済みのコンテナのみを環境に導入し、ランタイム中もその信頼性が維持されるため、DevOps チームがプロアクティブなコンテナ セキュリティ体制を敷くことができます。

ネイティブ Google Cloud 機能との統合のロゴ

ネイティブ Google Cloud 機能との統合

Binary Authorization は GKE および Cloud Run のコントロール プレーンと統合されており、定義されたポリシーに基づいてイメージのデプロイを許可またはブロックします。Cloud Build および Container Registry 脆弱性スキャンとの統合を活用して、ビルド情報と発見された脆弱性を基にデプロイ時の管理を行うことができます。

機能

ポリシーの作成

組織のセキュリティ要件に基づいて、プロジェクト レベルおよびクラスタレベルでポリシーを定義できます。CI / CD の設定に加えて、複数の環境(本番環境とテスト環境など)に対しても個別のポリシーを作成できます。

ポリシーの検証と適用

Binary Authorization を使ってポリシーを適用し、Container Registry 脆弱性スキャンなどの脆弱性スキャンツールによる署名、サードパーティ製ソリューションによる署名、お客様が生成したイメージ署名を検証します。

Cloud Security Command Center の統合

ポリシー違反の結果は、セキュリティ状況を一元的に可視化する Security Command Center に表示されます。ポリシー制限により失敗したデプロイや、ブレークグラス ワークフロー アクティビティなどのイベントの詳細を確認できます。

監査ロギング

Cloud Audit Logs を使用して、すべてのポリシー違反と失敗したデプロイの記録を維持できます。

Cloud KMS のサポート

署名検証のため、Cloud Key Management Service で管理している非対称鍵を使用してイメージに署名できます。

Kubernetes のオープンソースのサポート

オープンソースの Kritis ツールを使用して、オンプレミス Kubernetes とクラウド GKE デプロイメントの両方に署名検証を適用できます。

ドライランのサポート

デプロイの前に、ポリシーに加えた変更を非適用モードでテストできます。ブロックされるデプロイメントなど、ドライランの結果は Cloud Audit Logging で確認できます。

ブレークグラスのサポート

緊急時には、ブレークグラス ワークフローを使用してポリシーの適用を回避し、インシデント対応に支障が生じないようにします。ブレークグラス インシデントはすべて Cloud Audit Logging に記録されます。

サードパーティ製ソリューションとの統合

Binary Authorization を、CloudBees、Twistlock(Palo Alto Networks)、Terraform などの主要なコンテナ セキュリティおよび CI / CD パートナーと統合できます。

料金

Binary Authorization の料金について詳しくは、料金ページをご覧ください。

次のステップ

$300 分の無料クレジットと 20 種類以上の Always Free プロダクトを活用して Google Cloud で構築を開始しましょう。

開始にあたりサポートが必要な場合
信頼できるパートナーの活用

次のステップ

プロジェクトを開始してインタラクティブなチュートリアルを体験し、アカウントを管理しましょう。

開始にあたりサポートが必要な場合
信頼できるパートナーの活用
ヒントとベスト プラクティスを入手する