Einstellung und Abschaltung der kontinuierlichen Legacy-Validierung

In den Nutzungsbedingungen der Google Cloud Platform (Abschnitt 1.4(d), „Einstellung von Diensten“) ist die für Binary Authorizationgültige Einstellungsrichtlinie definiert. Die Richtlinie zur Einstellung gilt nur für die Dienste, Features oder die darin aufgeführten Produkte.

Nachdem ein Dienst, ein Feature oder ein Produkt offiziell verworfen wurde, ist es noch mindestens während des Zeitraums verfügbar, der in den Nutzungsbedingungen festgelegt ist. Nach Ablauf dieser Zeit wird ein Datum für die Einstellung des Dienstes festgelegt.

Die Binärautorisierung unterstützt die bisherige kontinuierliche Validierung (Legacy CV) mit Projekt-Singleton-Richtlinien für GKE nicht mehr.

  • Seit dem 15. April 2024 können Sie die Legacy-CV für die Google Kubernetes Engine (GKE) in neuen Projekten nicht mehr aktivieren.
  • Die bisherige kontinuierliche Validierung überwacht Ihre GKE-Pods weiterhin über Projekt-Singleton-Richtlinien für bestehende Projekte, für die sie bereits aktiviert ist, bis zum 1. Mai 2025. Nach dem 1. Mai 2025 werden Ihre Pods nicht mehr vom bisherigen CV überwacht und es werden keine Cloud Logging-Einträge mehr für Pod-Images erstellt, die nicht der Singleton-Richtlinie für die Binärautorisierung entsprechen.

Ersatz: Kontinuierliche Validierung (CV) mit prüfbasierten Plattformrichtlinien

Überwachen Sie Ihre Pods mithilfe der kontinuierlichen Validierung (CV) mit prüfbasierten Plattformrichtlinien.

Neben der Unterstützung von Attestierungen können Sie mit prüfbasierten Plattformrichtlinien die Metadaten von Container-Images überwachen, die mit Ihren Pods verknüpft sind, um potenzielle Sicherheitsprobleme zu vermeiden. CV-prüfbasierte Richtlinien umfassen unter anderem folgende Prüfungen:

  • Sicherheitslückenprüfung: Das Image wird auf Sicherheitslücken mit einem von Ihnen definierten Schweregrad geprüft.
  • Sigstore-Prüfung: Das Image enthält Attestierungen, die von Sigstore signiert wurden.
  • SLSA-Prüfung: Das Image wurde aus der Quelle in einem vertrauenswürdigen Verzeichnis und von einem vertrauenswürdigen Builder erstellt.
  • Prüfung auf vertrauenswürdige Verzeichnisse: Das Image muss sich in einem vertrauenswürdigen Verzeichnis innerhalb eines vertrauenswürdigen Image-Repositorys befinden.

Wie bei der bisherigen kontinuierlichen Validierung werden bei der CV mit prüfbasierten Richtlinien auch Pods mit nicht konformen Images in Logging protokolliert.

Wenn Sie die kontinuierliche Legacy-Validierung verwenden, lesen Sie den Hilfeartikel Migration.

Weitere Informationen zur Verwendung der kontinuierlichen Validierung mit prüfbasierten Plattformrichtlinien finden Sie unter Kontinuierliche Validierung – Übersicht.

Migration

So migrieren Sie von einer Legacy-CV-Projekt-Singleton-Richtlinie zu einer entsprechenden prüfbasierten Plattformrichtlinie:

  • Erstellen Sie für eine ALWAYS_ALLOW-Projekt-Singleton-Richtlinie eine prüfbasierte Plattformrichtlinie ohne checkSet-Block.
  • Erstellen Sie für eine ALWAYS_DENY-Projekt-Singleton-Richtlinie eine prüfbasierte Plattformrichtlinie mit einem einzelnen checkSet-Block mit einer alwaysDeny-Prüfung.
  • Erstellen Sie für eine Projekt-Singleton-Richtlinie, die Attestierungen erfordert, eine einzelne prüfbasierte Richtlinie. Fügen Sie dann für jeden Attestierer in der Projekt-Singleton-Richtlinie eine SimpleSigningAttestationCheck-Instanz für die prüfbasierte Richtlinie hinzu. Da Sie dasselbe Schlüsselpaar verwenden, funktioniert die Prüfung weiterhin mit Ihren vorhandenen Attestierungen und es werden nur Pod-Images protokolliert, die keine gültigen Attestierungen haben.

Prüfbasierte Plattformrichtlinien gelten nicht für ein Google Cloud-Projekt, sondern für einen GKE-Cluster. Nachdem Sie eine richtlinienbasierte Plattformrichtlinie erstellt haben, können Sie sie auf einen oder mehrere Cluster anwenden.

Wenn Sie CV mit prüfbasierten Plattformrichtlinien in einem Cluster aktivieren möchten, müssen die Einstellungen für die Binärautorisierung des Clusters während der Clustererstellung oder -aktualisierung konfiguriert werden.