Binärautorisierung

Nur vertrauenswürdige Container in Google Kubernetes Engine bereitstellen.

Dokumentation für dieses Produkt ansehen

Abbildung: Übersicht über die Binärautorisierung

Übersicht

Mit der Binärautorisierung wird die Sicherheit beim Deployment überprüft. So können Sie garantieren, dass nur vertrauenswürdige Container-Images in Google Kubernetes Engine (GKE) bereitgestellt werden. Sie können dabei festlegen, dass die Images während des Entwicklungsprozesses von vertrauenswürdigen Stellen signiert werden, und dann beim Deployment die Signaturprüfung erzwingen. Damit haben Sie eine stärkere Kontrolle über die Containerumgebung und sorgen dafür, dass nur verifizierte Images in den Build- und Release-Prozess eingebunden werden.

Symbol: Standardisierte Verfahren der Containerfreigabe erzwingen

Standardisierte Verfahren der Containerfreigabe erzwingen

Mit der Binärautorisierung haben DevOps-Teams die Gewissheit, dass nur explizit autorisierte Container-Images in GKE bereitgestellt werden. Da die Images vor dem Deployment verifiziert werden, ist das Risiko geringer, dass in Ihrer Umgebung ungewollter oder bösartiger Code ausgeführt wird.

Symbol: Proaktive Sicherheitsmaßnahmen einrichten

Proaktive Sicherheitsmaßnahmen einrichten

Mit der Binärautorisierung implementieren DevOps-Teams eine proaktive Containersicherheit, denn sie sorgt dafür, dass nur verifizierte Container in die Umgebung gelangen und dass die Container während der Laufzeit vertrauenswürdig bleiben.

Symbol: Native GCP-Einbindung

Native GCP-Einbindung

Die Binärautorisierung ist in die GKE-Steuerungsebene einbindbar. So können Deployments von Images auf der Grundlage der von Ihnen definierten Richtlinien zugelassen oder blockiert werden. Dank der Einbindung von Cloud Build und dem Scannen auf Sicherheitslücken in Container Registry können Sie außerdem Steuerelemente beim Deployment aktivieren, die auf Build-Informationen und den gefundenen Sicherheitslücken basieren.

Features

Richtlinien erstellen

Sie können Richtlinien auf Projekt- und Clusterebene definieren, die auf den Sicherheitsanforderungen Ihrer Organisation beruhen. Für verschiedene Umgebungen (z. B. Produktion und Tests) können unterschiedliche Richtlinien und auch CI-/CD-Einrichtungen erstellt werden.

Richtlinien prüfen und erzwingen

Sie können Richtlinien erzwingen, indem Sie mit der Binärautorisierung Signaturen verifizieren, die von Tools zum Scannen auf Sicherheitslücken im Container Registry bzw. von Drittanbieterlösungen stammen oder von Ihnen generiert wurden.

Einbindung von Cloud Security Command Center

Im Security Command Center können Sie die gefundenen Richtlinienverstöße in der zentralen Sicherheitskonsole ansehen. Ereignisse wie Deployment-Versuche, die aufgrund von Einschränkungen durch Richtlinien fehlgeschlagen sind, oder Aktivitäten im Zusammenhang mit Ausnahmezugriff-Workflows können genauer untersucht werden.

Audit-Logging

Mit Cloud-Audit-Logs werden Richtlinienverstöße und fehlgeschlagene Deployment-Versuche aufgezeichnet.

Unterstützung für Cloud KMS

Images können für die Signaturprüfung mit einem asymmetrischen Schlüssel signiert werden, den Sie in Cloud Key Management Service verwalten.

Open-Source-Unterstützung für Kubernetes

Verwenden Sie das Open-Source-Tool Kritis, um die Signaturprüfung sowohl für lokale Kubernetes- als auch für Cloud GKE-Deployments zu erzwingen.

Unterstützung für Probelauf

Sie haben die Möglichkeit, Richtlinienänderungen vor dem Deployment in einem Modus zu testen, in dem keine Richtlinien erzwungen werden. In Cloud-Audit-Logs können Sie die Ergebnisse ansehen, auch die Deployments, die blockiert werden würden.

Unterstützung für Ausnahmezugriff

In Notfällen können Richtlinien mit dem Ausnahmezugriff-Workflow umgangen werden, damit Sie ungehindert auf Vorfälle reagieren können. Alle Ausnahmezugriffvorfälle werden in Cloud-Audit-Logs aufgezeichnet.

Einbindung von Drittanbieterlösungen

In die Binärautorisierung lassen sich Lösungen führender Partner für Containersicherheit und CI/CD einbinden, z. B. von CloudBees, Twistlock und Terraform.

Einbindungen

Ressourcen

Preise

Die Binärautorisierung ist ein Feature der Anthos-Plattform und ihre Nutzung ist im Anthos-Abo enthalten. Die Binärautorisierung verwendet Container Analysis, um Metadaten im Zusammenhang mit der Autorisierung für die Bereitstellung von Container-Images zu speichern. Das Anthos-Abo beinhaltet die unbegrenzte Nutzung von Container Analysis und der Container Analysis API.

Weitere Informationen zu den Preisen der Binärautorisierung

Gleich loslegen

Profitieren Sie von einer Gutschrift über 300 $, um Google Cloud und mehr als 20 immer kostenlose Produkte kennenzulernen.

Benötigen Sie Hilfe beim Einstieg?
Unterstützung durch Google Cloud-Partner