Binärautorisierung
Nur vertrauenswürdige Arbeitslasten für Container und serverlose Lösungen bereitstellen.
Überblick
Standardisierte Verfahren der Containerfreigabe erzwingen
Mit der Binärautorisierung haben DevOps-Teams die Gewissheit, dass nur explizit autorisierte Container-Images bereitgestellt werden. Da die Images vor dem Deployment verifiziert werden, ist das Risiko geringer, dass in Ihrer Umgebung ungewollter oder bösartiger Code ausgeführt wird.
Proaktive Sicherheitsmaßnahmen einrichten
Mit der Binärautorisierung implementieren DevOps-Teams eine proaktive Containersicherheit, denn sie sorgt dafür, dass nur verifizierte Container in die Umgebung gelangen und dass die Container während der Laufzeit vertrauenswürdig bleiben.
Native Integration
Die Binärautorisierung kann mit der GKE- und Cloud Run-Steuerungsebene kombiniert werden, um die Bereitstellung von Images basierend auf den von Ihnen definierten Richtlinien zuzulassen oder zu blockieren. Dank der Einbindung von Cloud Build und dem Scannen auf Sicherheitslücken im Container Registry können Sie außerdem Steuerelemente beim Deployment aktivieren, die auf Build-Informationen und den gefundenen Sicherheitslücken basieren.
Features
Richtlinien erstellen
Sie können Richtlinien auf Projekt- und Clusterebene definieren, die auf den Sicherheitsanforderungen Ihrer Organisation beruhen. Für verschiedene Umgebungen (z. B. Produktion und Tests) können unterschiedliche Richtlinien und auch CI-/CD-Einrichtungen erstellt werden.
Richtlinien prüfen und erzwingen
Sie können Richtlinien erzwingen, indem Sie mit der Binärautorisierung Signaturen verifizieren, die von Tools zum Scannen auf Sicherheitslücken im Container Registry bzw. von Drittanbieterlösungen stammen oder von Ihnen generiert wurden.
Einbindung von Cloud Security Command Center
Im Security Command Center können Sie die gefundenen Richtlinienverstöße in der zentralen Sicherheitskonsole ansehen. Ereignisse wie Deployment-Versuche, die aufgrund von Einschränkungen durch Richtlinien fehlgeschlagen sind, oder Aktivitäten im Zusammenhang mit Ausnahmezugriff-Workflows können genauer untersucht werden.
Audit-Logging
Mit Cloud-Audit-Logs werden Richtlinienverstöße und fehlgeschlagene Deployment-Versuche aufgezeichnet.
Unterstützung für Cloud KMS
Images können für die Signaturprüfung mit einem asymmetrischen Schlüssel signiert werden, den Sie in Cloud Key Management Service verwalten.
Open-Source-Unterstützung für Kubernetes
Verwenden Sie das Open-Source-Tool Kritis, um die Signaturprüfung sowohl für lokale Kubernetes- als auch für Cloud GKE-Deployments zu erzwingen.
Unterstützung für Probelauf
Sie haben die Möglichkeit, Richtlinienänderungen vor dem Deployment in einem Modus zu testen, in dem keine Richtlinien erzwungen werden. In Cloud-Audit-Logs können Sie die Ergebnisse ansehen, auch die Deployments, die blockiert werden würden.
Unterstützung für Ausnahmezugriff
In Notfällen können Richtlinien mit dem Ausnahmezugriff-Workflow umgangen werden, damit Sie ungehindert auf Vorfälle reagieren können. Alle Ausnahmezugriffvorfälle werden in Cloud-Audit-Logs aufgezeichnet.
Einbindung von Drittanbieterlösungen
In die Binärautorisierung lassen sich Lösungen führender Partner für Containersicherheit und CI/CD einbinden, z. B. von CloudBees, Twistlock (Palo Alto Networks) und Terraform.
Einbindungen
Ressourcen
-
Einführung in die Binärautorisierung
-
Codelab zur Binärautorisierung
-
Softwarelieferkette sichern
-
Binärautorisierung: Nur vertrauenswürdige Images bereitstellen
-
Integrationsanleitung für Container Registry Vulnerability Scanning
-
Binary Authorization Demo
-
Next ’19: End-To-End Security and Compliance for Your Kubernetes Software Supply Chain
Preise
Weitere Informationen zu Preisen für die Binärautorisierung finden Sie in der Preisübersicht.
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.
Starten Sie Ihr nächstes Projekt, nutzen Sie interaktive Anleitungen und verwalten Sie Ihr Konto.