Binaire machtiging

Implementeer alleen vertrouwde containers op Google Kubernetes Engine.

Bekijk de documentatie voor dit product.

Logo voor overzicht van binaire machtiging

Overzicht

Binaire machtiging is een beveiligingsmechanisme dat tijdens de implementatiefase wordt toegepast. Het zorgt ervoor dat alleen vertrouwde containerimages worden geïmplementeerd op Google Kubernetes Engine (GKE). Met binaire machtiging kunt u vereisen dat images tijdens het ontwikkelingsproces worden ondertekend door vertrouwde instanties en kunt u afdwingen dat tijdens de implementatie handtekeningen worden gevalideerd. Door validering af te dwingen, heeft u meer controle over uw containeromgeving, aangezien alleen geverifieerde images worden geïntegreerd in het ontwikkel- en releaseproces.

Logo voor afdwingen van gestandaardiseerde processen voor containerrelease

Gestandaardiseerde processen voor containerrelease afdwingen

Met binaire machtiging hebben DevOps-teams de zekerheid dat alleen expliciet goedgekeurde containerimages worden geïmplementeerd in GKE. Door images te verifiëren voordat ze worden geïmplementeerd, vermindert u het risico dat er verkeerde of schadelijke code in uw omgeving wordt uitgevoerd.

Logo voor toepassen van proactieve beveiligingsmaatregelen

Proactieve beveiligingsmaatregelen toepassen

Met binaire machtiging kunnen DevOps-teams een proactief beleid voor containerbeveiliging implementeren door erop toe te zien dat alleen geverifieerde containers tot de omgeving worden toegelaten en vertrouwd blijven tijdens runtime.

Logo voor systeemeigen GCP-integratie

Systeemeigen GCP-integratie

Binaire machtiging kan worden geïntegreerd met de controlefunctionaliteit van GKE, zodat u de implementatie van images kunt blokkeren op basis van de beleidsregels die u definieert. U kunt ook gebruikmaken van integraties met Cloud Build en Container Registry Vulnerability Scanning. Hiermee maakt u controles voor implementatietijden mogelijk op basis van buildgegevens en bevindingen over kwetsbaarheden.

Kenmerken

Beleid maken

Definieer beleidsregels op project- en clusterniveau, gebaseerd op de beveiligingsbehoeften van uw organisatie. Stel afzonderlijk beleid op voor verschillende omgevingen (zoals de productie- en testomgevingen) in aanvulling op CI/CD-configuraties.

Beleid verifiëren en afdwingen

Dwing de naleving van beleid af met binaire machtiging: verifieer handtekeningen van tools waarmee u kunt scannen op kwetsbaarheden, zoals Container Registry Vulnerability Scanning, oplossingen van derden, of image-handtekeningen die u zelf genereert.

Integratie van Cloud Security Command Center

Bekijk beleidsschendingen in uw centrale beveiligingsoverzicht in Security Command Center. Onderzoek gebeurtenissen zoals mislukte implementatiepogingen vanwege beleidsbeperkingen, of activiteiten in de breakglass-workflow.

Controlelogboeken

Registreer alle beleidsschendingen en mislukte implementatiepogingen met Cloud-controlelogboekregistratie.

Ondersteuning voor Cloud KMS

Gebruik een asymmetrische sleutel die u in Cloud Key Management Service beheert om images te ondertekenen voor handtekeningverificatie.

Opensource-support voor Kubernetes

Gebruik de opensource-tool Kritis om handtekeningverificatie af te dwingen, zowel in Kubernetes-implementaties op locatie als in GKE-implementaties in de cloud.

Ondersteuning voor simulaties

Test beleidswijzigingen zonder afdwinging, voorafgaand aan de implementatie. Bekijk de resultaten in de Cloud-controlelogboekregistratie. Hier ziet u ook welke implementaties zouden worden geblokkeerd.

Ondersteuning voor breakglass

Omzeil in noodgevallen beleidsregels met de breakglass-workflow. Zo komt uw incidentrespons niet in het geding. Alle breakglass-incidenten worden bijgehouden in de Cloud-controlelogboekregistratie.

Integratie met oplossingen van derden

Integreer binaire machtiging met producten van toonaangevende partners voor containerbeveiliging en CI/CD, zoals CloudBees, Twistlock en Terraform.

Integraties

Hulpbronnen

Prijzen

Binaire machtiging is een functie van het Anthos-platform. Het gebruik van binaire machtiging is inbegrepen bij het Anthos-abonnement. Bij binaire machtiging wordt gebruikgemaakt van containeranalyse om metadata op te slaan die betrekking hebben op machtigingen voor de implementatie van containerimages. Het Anthos-abonnement biedt u onbeperkt gebruik van containeranalyse en de Container Analysis API.

Meer informatie over de prijzen van binaire machtiging

De volgende stap

Ga aan de slag in Google Cloud met $ 300 aan gratis tegoed en meer dan 20 Always Free-producten.

Heeft u hulp nodig om aan de slag te gaan?
Werk samen met een betrouwbare partner