Binary Authorization

信頼できるコンテナのみを Google Kubernetes Engine にデプロイします。

このプロダクトのドキュメントを見る

Binary Authorization の概要のロゴ

概要

Binary Authorization は、信頼できるコンテナ イメージのみが Google Kubernetes Engine(GKE)にデプロイされることを保証する、デプロイ時のセキュリティ管理サービスです。Binary Authorization を使用すると、開発プロセス時に信頼できる機関によるイメージへの署名を必須にして、デプロイ時にその署名を検証できます。検証プロセスを適用することで、適切であると認められたイメージのみがビルドとリリースのプロセスに組み込まれるため、コンテナの環境をより厳密に管理できます。

コンテナのリリース業務標準化のロゴ

コンテナのリリース業務を標準化する

Binary Authorization を使用すると、DevOps チームは、明示的に承認されたコンテナ イメージのみが GKE にデプロイされることを保証できます。また、イメージをデプロイする前に検証することで、意図しないコードや悪意のあるコードが環境内で実行されるリスクを減らすことができます。

予防的なセキュリティ対策導入のロゴ

予防的なセキュリティ対策を導入する

Binary Authorization では、検証されたコンテナのみが環境への統合を認められ、ランタイム中もその信頼性が維持されるため、DevOps チームは予防的なコンテナ セキュリティ体制を敷くことができます。

ネイティブ Google Cloud 機能との統合のロゴ

ネイティブ Google Cloud 機能との統合

Binary Authorization は GKE コントロール プレーンと統合されており、定義されたポリシーに基づいてイメージのデプロイを許可またはブロックします。Cloud Build および Container Registry 脆弱性スキャンとの統合を活用すれば、ビルド情報と発見された脆弱性を基にデプロイ時の管理を行うことができます。

特長

ポリシーの作成

組織のセキュリティ要件に基づいて、プロジェクト レベルおよびクラスタレベルでポリシーを定義できます。CI / CD の設定に加えて、複数の環境(本番環境とテスト環境など)に対しても個別のポリシーを作成できます。

ポリシーの検証と適用

Binary Authorization を使ってポリシーを適用し、Container Registry 脆弱性スキャンなどの脆弱性スキャンツールによる署名、サードパーティ製ソリューションによる署名、お客様が生成したイメージ署名を検証します。

Cloud Security Command Center の統合

ポリシー違反の結果は、セキュリティ状況を一元的に可視化する Security Command Center に表示されます。ポリシー制限により失敗したデプロイや、ブレークグラス ワークフロー アクティビティなどのイベントの詳細を確認できます。

監査ロギング

Cloud Audit Logging を使用して、すべてのポリシー違反と失敗したデプロイの記録を維持できます。

Cloud KMS のサポート

署名検証のため、Cloud Key Management Service で管理している非対称鍵を使用してイメージに署名できます。

Kubernetes のオープンソースのサポート

オープンソースの Kritis ツールを使用して、オンプレミス Kubernetes とクラウド GKE デプロイメントの両方に署名検証を適用できます。

ドライランのサポート

デプロイの前に、ポリシーに加えた変更を非適用モードでテストできます。ブロックされるデプロイメントなど、ドライランの結果は Cloud Audit Logging で確認できます。

ブレークグラスのサポート

緊急時には、ブレークグラス ワークフローを使用してポリシーの適用を回避し、インシデント対応に支障が生じないようにします。ブレークグラス インシデントはすべて Cloud Audit Logging に記録されます。

サードパーティ製ソリューションとの統合

Binary Authorization をコンテナ セキュリティや CI / CD 関連の主要なパートナー(CloudBees、Twistlock、Terraform など)と統合できます。

統合

リソース

料金

Binary Authorization は Anthos プラットフォームの機能で、その使用は Anthos のサブスクリプションに含まれます。Binary Authorization は、コンテナ イメージのデプロイの承認に関するメタデータの保存に Container Analysis を使用します。Anthos のサブスクリプションには Container Analysis と Container Analysis API の無制限利用も含まれます。

Binary Authorization の料金の詳細

次のステップ

Google Cloud をご利用のお客様には、最大 12 か月間有効の無料クレジット $300 分を差し上げます。

無料トライアル
開始にあたりサポートが必要な場合
信頼できるパートナーの活用