Autorisation binaire
Consultez la documentation de ce produit.
Présentation
L'autorisation binaire est un contrôle de sécurité intervenant au moment du déploiement qui garantit que seules des images de conteneur fiables sont déployées sur Google Kubernetes Engine (GKE). Avec l'autorisation binaire, vous pouvez exiger que toutes les images soient signées par des autorités de confiance lors du processus de développement, puis appliquer la validation de signature lors du déploiement. Grâce à cette validation, vous pouvez exercer un contrôle plus strict sur votre environnement de conteneurs en vous assurant que seules les images validées sont intégrées au processus de compilation et de déploiement.
Appliquez des pratiques standardisées de déploiement de conteneurs
Grâce à l'autorisation binaire, les équipes DevOps peuvent avoir la garantie que seules les images de conteneur explicitement autorisées seront déployées sur GKE. En validant les images avant le déploiement, vous pouvez réduire le risque d'exécution de code non intentionnel ou malveillant dans votre environnement.
Mettez en place des mesures de sécurité proactives
L'autorisation binaire aide les équipes DevOps à adopter une démarche proactive en termes de sécurité des conteneurs, en s'assurant que seuls les conteneurs validés sont admis dans l'environnement et qu'ils demeurent sécurisés pendant l'exécution.
Intégration native à GCP
L'autorisation binaire s'intègre au plan de contrôle GKE pour autoriser ou bloquer le déploiement d'images en fonction des stratégies que vous définissez. Vous pouvez également bénéficier de l'intégration avec Cloud Build et avec l'analyse des failles de Container Registry pour mettre en place des contrôles au moment du déploiement sur la base d'informations de compilation et d'identification de failles.
Fonctionnalités
Création de stratégies
Définissez les stratégies au niveau du projet ou du cluster suivant les exigences de sécurité de votre entreprise. Créez des stratégies distinctes pour vos différents environnements (par exemple, production et test) en plus des configurations CI/CD.
Validation et application des stratégies
Appliquez les stratégies à l'aide de l'autorisation binaire pour valider les signatures d'outils d'analyse des failles tels que l'analyse des failles de Container Registry, de solutions tierces ou les signatures d'images que vous générez.
Intégration à Cloud Security Command Center
Identifiez les cas de non-respect des règles dans le volet de sécurité centralisé de Security Command Center. Explorez les événements tels que les tentatives de déploiement ayant échoué en raison d'une contrainte de stratégie ou les activités de workflow en mode "bris de glace".
Journaux d'audit
Enregistrez tous les cas de non-respect des règles et toutes les tentatives de déploiement ayant échoué grâce aux journaux d'audit Cloud.
Compatibilité avec Cloud KMS
Utilisez une clé asymétrique gérée dans Cloud Key Management Service pour signer vos images en vue de la validation de signature.
Compatibilité Open Source pour Kubernetes
Exploitez l'outil Open Source Kritis pour appliquer la validation de signature aussi bien à vos déploiements Kubernetes sur site qu'aux déploiements Cloud GKE.
Compatibilité avec les simulations
Testez les modifications apportées à votre stratégie avant le déploiement, dans le cadre d'une simulation sans application. Consultez les résultats, y compris les déploiements qui se trouveraient éventuellement bloqués, dans les journaux d'audit Cloud.
Compatibilité avec le mode "bris de glace"
En cas d'urgence, contournez les stratégies à l'aide du workflow en mode "bris de glace" afin d'être toujours en mesure de réagir aux incidents. Tous les incidents gérés dans ce mode sont enregistrés dans les journaux d'audit Cloud.
Intégration à des solutions tierces
Intégrez l'autorisation binaire aux solutions des partenaires leaders du marché dans le domaine de la sécurité des conteneurs et des plates-formes CI/CD, comme CloudBees, Twistlock (Palo Alto Networks) et Terraform.
Intégrations
Ressources
Tutoriel de mise en route pour l'autorisation binaire
Atelier de programmation pour l'autorisation binaire
Sécuriser la chaîne d'approvisionnement logicielle
Rejoindre la communauté
Autorisation binaire : déployez uniquement les outils auxquels vous faites confiance
Guide d'intégration avec l'analyse des failles de Container Registry
Vidéo de démonstration de l'autorisation binaire
Conférence Next 2019 : Sécurité et conformité de bout en bout pour votre chaîne d'approvisionnement logicielle Kubernetes
Tarifs
L'autorisation binaire est une fonctionnalité de la plate-forme Anthos. Son utilisation est incluse dans l'abonnement Anthos. L'autorisation binaire utilise Container Analysis pour stocker les métadonnées associées à l'autorisation de déploiement d'images de conteneur. L'abonnement Anthos inclut une utilisation illimitée de Container Analysis et de l'API Container Analysis.
Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.