Questa pagina descrive come proteggere la catena di fornitura del software configurando Autorizzazione binaria per consentire il deployment solo delle immagini container create da Cloud Build.
Per configurare questo controllo di deployment, devi richiedere l'attestatore built-by-cloud-build nel criterio di Autorizzazione binaria. Cloud Build
crea automaticamente l'attestatore built-by-cloud-build nel progetto quando
esegui una build che genera immagini. Una volta create le immagini, Cloud Build le firma e crea automaticamente le attestazioni. Al
momento del deployment, Autorizzazione binaria verifica le attestazioni con l'attestatore
built-by-cloud-build. È consentito il deployment delle immagini verificate.
Il deployment delle immagini che non superano la verifica non è consentito e l'errore viene registrato in Cloud Audit Logs.
Per una guida end-to-end che descrive come utilizzare i metadati registrati da Cloud Build e l'Autorizzazione binaria, consulta Utilizzo di provenienza firmata e Autorizzazione binaria.
Prima di iniziare
Per utilizzare questa funzionalità, devi prima svolgere i seguenti passaggi:
- Configura Autorizzazione binaria per la tua piattaforma.
Configura Cloud Build e crea un'immagine.
Configura il criterio
In questa sezione configuri il criterio di Autorizzazione binaria in modo che richieda l'attestatore built-by-cloud-build.
Per consentire il deployment solo delle immagini create da Cloud Build, segui i seguenti passaggi:
Console
Vai alla pagina Autorizzazione binaria nella console Google Cloud:
Nella scheda Criteri, fai clic su Modifica criteri.
Nella finestra di dialogo Modifica criterio, seleziona Consenti solo le immagini approvate da tutti i seguenti attestatori.
Fai clic su Aggiungi attestatori.
Nella finestra di dialogo Aggiungi attestatori, procedi nel seguente modo:
- Seleziona Aggiungi in base a nome progetto e attestatore ed esegui i seguenti passaggi:
- Nel campo Nome progetto, inserisci il progetto in cui esegui Cloud Build.
- Fai clic sul campo Nome attestatore e tieni presente che l'attestatore
built-by-cloud-buildè disponibile. - Fai clic su
built-by-cloud-build.
In alternativa, seleziona Aggiungi tramite ID risorsa attestatore. In ID risorsa attestatore, inserisci
projects/PROJECT_ID/attestors/built-by-cloud-buildSostituisci
PROJECT_IDcon il progetto in cui esegui Cloud Build.
- Seleziona Aggiungi in base a nome progetto e attestatore ed esegui i seguenti passaggi:
Fai clic su Aggiungi 1 attestatore.
Fai clic su Save Policy (Salva criterio).
gcloud
Esporta il criterio esistente in un file utilizzando il seguente comando:
gcloud container binauthz policy export > /tmp/policy.yamlModifica il file delle norme.
Modifica una delle seguenti regole:
defaultAdmissionRuleclusterAdmissionRulesistioServiceIdentityAdmissionRuleskubernetesServiceAccountAdmissionRules
Aggiungi un blocco
requireAttestationsByalla regola se non è già presente.Nel blocco
requireAttestationsBy, aggiungiprojects/PROJECT_ID/attestors/built-by-cloud-buildSostituisci
PROJECT_IDcon il progetto in cui esegui Cloud Build.Salva il file delle norme.
Importa il file delle norme.
gcloud container binauthz policy import /tmp/policy.yamlDi seguito è riportato un esempio di file di criteri che contiene il riferimento al
built-by-cloud-build-attestor:defaultAdmissionRule: evaluationMode: REQUIRE_ATTESTATION enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG requireAttestationsBy: - projects/PROJECT_ID/attestors/built-by-cloud-build name: projects/PROJECT_ID/policySostituisci
PROJECT_IDcon l'ID del progetto in cui esegui Cloud Build.
Passaggi successivi
- Anziché impedire il deployment delle immagini, puoi utilizzare la modalità di prova per registrare le violazioni dei criteri.
- Visualizza gli eventi degli audit log per le immagini non consentite su Google Kubernetes Engine (GKE) o Cloud Run.