Autorisation binaire

Déployez uniquement des charges de travail fiables pour les conteneurs et les solutions sans serveur.

Profiter d'un essai gratuit Contacter le service commercial

Consultez la documentation de ce produit.

Présentation

L'autorisation binaire est un contrôle de sécurité intervenant au moment du déploiement qui garantit que seules des images de conteneur fiables sont déployées sur Google Kubernetes Engine (GKE) ou Cloud Run. Avec l'autorisation binaire, vous pouvez exiger que toutes les images soient signées par des autorités de confiance lors du processus de développement, puis appliquer la validation de signature lors du déploiement. Grâce à cette validation, vous pouvez exercer un contrôle plus strict sur votre environnement de conteneurs en vous assurant que seules les images validées sont intégrées au processus de compilation et de déploiement.

Appliquez des pratiques standardisées de déploiement de conteneurs

Grâce à l'autorisation binaire, les équipes DevOps peuvent avoir la garantie que seules les images de conteneur explicitement autorisées seront déployées sur GKE. En validant les images avant le déploiement, vous pouvez réduire le risque d'exécution de code non intentionnel ou malveillant dans votre environnement.

Mettez en place des mesures de sécurité proactives

L'autorisation binaire aide les équipes DevOps à adopter une démarche proactive en termes de sécurité des conteneurs, en s'assurant que seuls les conteneurs validés sont admis dans l'environnement et qu'ils demeurent sécurisés pendant l'exécution.

Intégration native à GCP

L'autorisation binaire s'intègre au plan de contrôle GKE et Cloud Run pour autoriser ou bloquer le déploiement d'images en fonction des stratégies que vous définissez. Vous pouvez également bénéficier de l'intégration avec Cloud Build et avec l'analyse des failles de Container Registry pour mettre en place des contrôles au moment du déploiement sur la base d'informations de compilation et d'identification de failles.

Fonctionnalités

Création de stratégies

Définissez les stratégies au niveau du projet ou du cluster suivant les exigences de sécurité de votre entreprise. Créez des stratégies distinctes pour vos différents environnements (par exemple, production et test) en plus des configurations CI/CD.

Validation et application des stratégies

Appliquez les stratégies à l'aide de l'autorisation binaire pour valider les signatures d'outils d'analyse des failles tels que l'analyse des failles de Container Registry, de solutions tierces ou les signatures d'images que vous générez.

Intégration à Cloud Security Command Center

Identifiez les cas de non-respect des règles dans le volet de sécurité centralisé de Security Command Center. Explorez les événements tels que les tentatives de déploiement ayant échoué en raison d'une contrainte de stratégie ou les activités de workflow en mode "bris de glace".

Journaux d'audit

Enregistrez tous les cas de non-respect des règles et toutes les tentatives de déploiement ayant échoué grâce aux journaux d'audit Cloud.

Compatibilité avec Cloud KMS

Utilisez une clé asymétrique gérée dans Cloud Key Management Service pour signer vos images en vue de la validation de signature.

Compatibilité Open Source pour Kubernetes

Exploitez l'outil Open Source Kritis pour appliquer la validation de signature aussi bien à vos déploiements Kubernetes sur site qu'aux déploiements Cloud GKE.

Compatibilité avec les simulations

Testez les modifications apportées à votre stratégie avant le déploiement, dans le cadre d'une simulation sans application. Consultez les résultats, y compris les déploiements qui se trouveraient éventuellement bloqués, dans les journaux d'audit Cloud.

Compatibilité avec le mode "bris de glace"

En cas d'urgence, contournez les stratégies à l'aide du workflow en mode "bris de glace" afin d'être toujours en mesure de réagir aux incidents. Tous les incidents gérés dans ce mode sont enregistrés dans les journaux d'audit Cloud.

Intégration à des solutions tierces

Intégrez l'autorisation binaire aux solutions des partenaires leaders du marché dans le domaine de la sécurité des conteneurs et des plates-formes CI/CD, comme CloudBees, Twistlock (Palo Alto Networks) et Terraform.