Binary Authorization

为容器和无服务器环境仅部署可信工作负载。

查看此产品的文档

“Binary Authorization 概览”徽标

概览

Binary Authorization 是一种部署时安全控制措施,可确保在 Google Kubernetes Engine (GKE) 或 Cloud Run 上仅部署可信的容器映像。 借助 Binary Authorization,您可以要求在开发过程中由可信授权方对映像进行签名,然后在部署时强制执行签名验证。通过强制执行验证,您可以确保仅将经过验证的映像集成到构建和发布流程中,从而对容器环境实施更严格的控制。
“实施标准化容器发布做法”徽标

实施标准化容器发布做法

使用 Binary Authorization,DevOps 团队可以确保仅部署明确获得授权的容器映像。通过在部署之前验证映像,您可以降低在自己的环境中运行意外或恶意代码的风险。

“实施主动安全措施”徽标

实施主动安全措施

Binary Authorization 确保只有经过验证的容器才能被部署到环境中,并且保证这些容器在运行期间仍然可受信任,以此帮助 DevOps 团队实施主动式容器安全措施。

“原生集成”徽标

原生集成

Binary Authorization 可与 GKE 和 Cloud Run 控制面板集成,以根据您定义的政策允许或阻止映像部署。您还可以利用与 Cloud BuildContainer Registry Vulnerability Scanning 的集成,根据构建信息和发现的漏洞实施部署时控制措施。

特性

政策创建

根据您的组织的安全要求,在项目和集群层级定义政策。除 CI/CD 设置外,还可为多种环境(例如生产和测试)创建不同的政策。

政策验证和实施

使用 Binary Authorization 验证 Container Registry Vulnerability Scanning 等漏洞扫描工具和第三方解决方案的签名,或您生成的映像签名,以实施政策。

Cloud Security Command Center 集成

在 Security Command Center 的集中式安全管理平台中查看违反政策的情况。浏览由于政策限制而失败的部署尝试或 Breakglass 工作流活动等事件。

审核日志记录

使用 Cloud Audit Logs 维护一份包含所有违反政策的行为和失败部署尝试的记录。

Cloud KMS 支持

使用您在 Cloud Key Management Service 中管理的非对称密钥为映像签名,以进行签名验证。

Kubernetes 开源支持

使用开源 Kritis 工具在本地 Kubernetes 部署和云端 GKE 部署中强制执行签名验证。

试运行支持

在部署之前,以非强制执行模式对政策的更改进行测试。在 Cloud Audit Logs 中查看结果,包括将会失败的部署。

Breakglass 支持

使用 Breakglass 工作流在紧急情况下绕过政策,以免您在突发事件响应期间受到阻碍。所有 Breakglass 事件都将记录在 Cloud Audit Logs 中。

与第三方解决方案集成

将 Binary Authorization 与 CloudBees、Twistlock (Palo Alto Networks)、Terraform 等行业领先的容器安全和 CI/CD 合作伙伴产品集成。

价格

如需详细了解 Binary Authorization 的定价方式,请访问我们的价格页面

更进一步

获享 $300 赠金以及 20 多种提供“始终免费”用量的产品,开始在 Google Cloud 上构建项目。

不知从何入手,需要一点帮助?
与值得信赖的合作伙伴携手

更进一步

开始您的下一个项目,尝试交互式教程并管理您的账号。

不知从何入手,需要一点帮助?
与值得信赖的合作伙伴携手
了解相关技巧和最佳实践