二進位授權
總覽
二進位授權是一種部署作業期間的安全性控管機制,可確保只有受信任的容器映像檔才會部署至 Google Kubernetes Engine (GKE)。使用二進位授權之後,您可以要求受信任的單位在開發過程中簽署映像檔,然後在部署時強制執行簽名驗證程序。透過強制執行驗證程序,您可以確保僅將已通過驗證的映像檔整合至建構與發布的流程中,藉此更嚴謹地控管容器環境。
實施標準化容器發布做法
採用二進位授權之後,開發運作團隊就能確保僅將已明確取得授權的容器映像檔部署至 GKE。藉由在開始部署前驗證映像檔,您可以降低所在環境中出現非預期或惡意程式碼的風險。
實行主動式安全防護措施
二進位授權可確保僅有已通過驗證的容器能進入環境當中,且這些容器的受信任程度在執行階段中不會減損,讓開發運作團隊能夠實行主動式容器安全防護措施。
原生 GCP 整合
二進位授權已整合至 GKE 控制層,因此可根據您定義的政策允許或封鎖映像檔部署作業。另外,二進位授權也與 Cloud Build 和 Container Registry 安全漏洞掃描功能相互整合,因此您可以根據建構作業資訊和安全漏洞發現項目來啟用部署期間控管機制。
功能
制定政策
您可以根據所屬機構的安全性需求,定義專案和叢集層級的政策。除了設定持續整合/持續推送軟體更新之外,您也能為多個環境 (例如實際工作環境和測試環境) 制定專屬的政策。
驗證與強制執行政策
您可以使用二進位授權來強制執行簽名驗證政策,藉此驗證 Container Registry 安全漏洞掃描功能、第三方解決方案等安全漏洞掃描工具提供的簽名,或是您產生的映像檔簽名。
整合 Cloud Security Command Center
您可以透過 Cloud Security Command Center (CSCC) 集中控管安全性,並查看違反政策規定的結果。另外,您也能探索因政策限制而失敗的部署作業,或是急用權限工作流程活動等事件。
稽核記錄
Cloud 稽核記錄可保存一份包含所有政策違反事件和失敗部署作業的記錄。
支援 Cloud KMS
使用您透過 Cloud Key Management Service 管理的非對稱式金鑰簽署映像檔,以便進行簽名驗證作業。
針對 Kubernetes 提供開放原始碼支援
您可以使用開放原始碼的 Kritis 工具,在內部部署系統的 Kubernetes 和雲端中的 GKE 部署項目強制執行簽名驗證作業。
支援模擬測試
執行部署作業之前,您可以在非強制執行模式下測試政策異動,並在測試完成後查看結果,當中包含會在 Cloud 稽核記錄中封鎖的部署作業。
支援急用權限
有了急用權限工作流程,您就能在緊急情況下忽略政策規定,確保自己不會受到事件回應的干擾。所有急用權限事件都會記錄在 Cloud 稽核記錄中。
與第三方解決方案整合
您可以將二進位授權整合至領先業界的容器安全性合作夥伴產品,以及持續整合/持續推送軟體更新合作夥伴產品,例如 CloudBees、Twistlock 和 Terraform。
整合
資源
二進位授權入門教學課程
二進位授權程式碼研究室
保護軟體供應鏈
加入社群
二進位授權:僅部署您信任的內容
Container Registry 安全漏洞掃描功能整合指南
二進位授權示範影片
2019 年 Next 大會:Kubernetes 軟體供應鏈的端對端安全性與法規遵循
定價
二進為授權是 Anthos 平台的功能,只要具備 Anthos 約期授權即可使用。二進位授權會使用容器分析功能,以便儲存與容器映像檔部署作業授權相關的中繼資料。具備 Anthos 約期授權的使用者可盡情使用容器分析和 Container Analysis API,而不受用量限制。
