總覽
二進位授權是一種部署作業期間的安全性控管機制,可確保只有受信任的容器映像檔能部署至 Google Kubernetes Engine (GKE)。使用二進位授權之後,您就能要求映像檔在開發過程中必須由受信任的單位簽署,並在部署時強制執行簽名驗證程序。透過強制執行驗證程序,您可以確保只有通過驗證的映像檔會整合至建構與發布的程序中,藉此更嚴謹地控管容器環境。
強制實行標準化容器發布做法
使用二進位授權之後,開發運作團隊就能確保只有明確取得授權的容器映像檔會部署至 GKE。在部署前驗證映像檔可以降低所用環境中出現非預期或惡意程式碼的風險。
實行主動式安全防護措施
二進位授權可確保只有通過驗證的容器能夠進入所用環境,而且這些容器在執行階段中均維持可信任狀態。這樣一來,開發運作團隊就等同於實行了主動式容器安全防護措施。
原生 GCP 整合
二進位授權已與 GKE 控制層相互整合,因此可以依據您定義的政策允許或封鎖映像檔部署作業。另外,二進位授權也與 Cloud Build 和 Container Registry 安全漏洞掃描功能相互整合,因此您可以根據建構作業資訊和安全漏洞發現項目來啟用部署期間控管機制。
功能與特色
建立政策
您可以依據所屬機構的安全性需求,在專案和叢集層級定義政策。除了設定持續整合/持續推送軟體更新之外,您也能為多個環境 (例如實際工作環境和測試環境) 制定各不相同的政策。
驗證及強制實行政策
您可以使用二進位授權來強制實行簽名驗證政策,藉此驗證 Container Registry 安全漏洞掃描功能、第三方解決方案等安全漏洞掃描工具提供的簽名,或是驗證您產生的映像檔簽名。
整合 Cloud Security Command Center
您可以透過 Security Command Center 集中控管安全性,並查看違反政策規定的結果。另外,您也能瀏覽因政策限制而失敗的部署作業,或是急用權限工作流程活動等事件。
稽核記錄
Cloud 稽核記錄可保存一份包含所有政策違反事件和失敗部署作業的記錄。
支援 Cloud KMS
使用您透過 Cloud Key Management Service 管理的非對稱式金鑰簽署映像檔,以便進行簽名驗證作業。
以開放原始碼的形式支援 Kubernetes
您可以使用開放原始碼的 Kritis 工具,對內部部署系統的 Kubernetes 和雲端中的 GKE 部署項目強制執行簽名驗證作業。
支援模擬測試
執行部署作業之前,您可以在非強制執行模式下測試政策異動,並在測試完成後透過 Cloud 稽核記錄查看結果,藉此瞭解哪些部署作業會遭到封鎖。
支援急用權限
有了急用權限工作流程,您就能在緊急情況下忽略政策規定,以免受到阻礙而無法採行事件因應措施。所有急用權限事件都會記錄在 Cloud 稽核記錄中。
與第三方解決方案相互整合
Google Cloud 在容器安全性及持續整合/持續推送軟體更新方面,有許多領先業界的合作夥伴,例如 CloudBees、Twistlock (Palo Alto Networks) 和 Terraform。您可以將二進位授權與這些夥伴提供的產品整合。
整合
資源
二進位授權入門教學課程
二進位授權程式碼研究室
保護軟體供應鏈
加入社群
二進位授權:僅部署您信任的內容
Container Registry 安全漏洞掃描功能整合指南
二進位授權示範影片
2019 年 Next 大會:提供 Kubernetes 軟體供應鏈適用的端對端安全防護機制並確保符合法規
定價
二進位授權是 Anthos 平台的功能之一,訂閱 Anthos 即可使用。二進位授權會使用容器分析功能來儲存容器映像檔部署項目的授權相關中繼資料。Anthos 訂閱項目中包含無限量使用容器分析和 Container Analysis API 的權限。
運用價值 $300 美元的免費抵免額和超過 20 項一律免費的產品,開始在 Google Cloud 中建構內容。