Autorisation binaire

Déployez uniquement des conteneurs fiables sur Google Kubernetes Engine.

Consultez la documentation de ce produit.

Logo Présentation de l'autorisation binaire

Présentation

L'autorisation binaire est un contrôle de sécurité intervenant au moment du déploiement qui garantit que seules des images de conteneur fiables sont déployées sur Google Kubernetes Engine (GKE). Avec l'autorisation binaire, vous pouvez exiger que toutes les images soient signées par des autorités de confiance lors du processus de développement, puis appliquer la validation de signature lors du déploiement. Grâce à cette validation, vous pouvez exercer un contrôle plus strict sur votre environnement de conteneurs en vous assurant que seules les images validées sont intégrées au processus de compilation et de déploiement.

Logo Appliquez des pratiques standardisées de déploiement de conteneurs

Appliquez des pratiques standardisées de déploiement de conteneurs

Grâce à l'autorisation binaire, les équipes DevOps peuvent avoir la garantie que seules les images de conteneur explicitement autorisées seront déployées sur GKE. En validant les images avant le déploiement, vous pouvez réduire le risque d'exécution de code non intentionnel ou malveillant dans votre environnement.

Logo Mettez en place des mesures de sécurité proactives

Mettez en place des mesures de sécurité proactives

L'autorisation binaire aide les équipes DevOps à adopter une démarche proactive en termes de sécurité des conteneurs, en s'assurant que seuls les conteneurs validés sont admis dans l'environnement et qu'ils demeurent sécurisés pendant l'exécution.

Logo Intégration native à GCP

Intégration native à GCP

L'autorisation binaire s'intègre au plan de contrôle GKE pour autoriser ou bloquer le déploiement d'images en fonction des stratégies que vous définissez. Vous pouvez également bénéficier de l'intégration avec Cloud Build et avec l'analyse des failles de Container Registry pour mettre en place des contrôles au moment du déploiement sur la base d'informations de compilation et d'identification de failles.

Fonctionnalités

Création de stratégies

Définissez les stratégies au niveau du projet ou du cluster suivant les exigences de sécurité de votre entreprise. Créez des stratégies distinctes pour vos différents environnements (par exemple, production et test) en plus des configurations CI/CD.

Validation et application des stratégies

Appliquez les stratégies à l'aide de l'autorisation binaire pour valider les signatures d'outils d'analyse des failles tels que l'analyse des failles de Container Registry, de solutions tierces ou les signatures d'images que vous générez.

Intégration à Cloud Security Command Center

Identifiez les cas de non-respect des règles dans le volet de sécurité centralisé de Security Command Center. Explorez les événements tels que les tentatives de déploiement ayant échoué en raison d'une contrainte de stratégie ou les activités de workflow en mode "bris de glace".

Journaux d'audit

Enregistrez tous les cas de non-respect des règles et toutes les tentatives de déploiement ayant échoué grâce aux journaux d'audit Cloud.

Compatibilité avec Cloud KMS

Utilisez une clé asymétrique gérée dans Cloud Key Management Service pour signer vos images en vue de la validation de signature.

Compatibilité Open Source pour Kubernetes

Exploitez l'outil Open Source Kritis pour appliquer la validation de signature aussi bien à vos déploiements Kubernetes sur site qu'aux déploiements Cloud GKE.

Compatibilité avec les simulations

Testez les modifications apportées à votre stratégie avant le déploiement, dans le cadre d'une simulation sans application. Consultez les résultats, y compris les déploiements qui se trouveraient éventuellement bloqués, dans les journaux d'audit Cloud.

Compatibilité avec le mode "bris de glace"

En cas d'urgence, contournez les stratégies à l'aide du workflow en mode "bris de glace" afin d'être toujours en mesure de réagir aux incidents. Tous les incidents gérés dans ce mode sont enregistrés dans les journaux d'audit Cloud.

Intégration à des solutions tierces

Intégrez l'autorisation binaire aux solutions des partenaires leaders du marché dans le domaine de la sécurité des conteneurs et des plates-formes CI/CD, comme CloudBees, Twistlock (Palo Alto Networks) et Terraform.

Intégrations

Ressources

Tarifs

L'autorisation binaire est une fonctionnalité de la plate-forme Anthos. Son utilisation est incluse dans l'abonnement Anthos. L'autorisation binaire utilise Container Analysis pour stocker les métadonnées associées à l'autorisation de déploiement d'images de conteneur. L'abonnement Anthos inclut une utilisation illimitée de Container Analysis et de l'API Container Analysis.

En savoir plus sur les tarifs de l'autorisation binaire

Passez à l'étape suivante

Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.

Vous avez besoin d'aide pour démarrer ?
Faites appel à un partenaire de confiance
Poursuivez vos recherches