In den Nutzungsbedingungen der Google Cloud Platform (Abschnitt „Einstellung von Diensten“) ist die für Binary Authorizationgültige Einstellungsrichtlinie definiert. Die Richtlinie zur Einstellung gilt nur für die Dienste, Features oder die darin aufgeführten Produkte.
Nachdem ein Dienst, ein Feature oder ein Produkt offiziell verworfen wurde, ist es noch mindestens während des Zeitraums verfügbar, der in den Nutzungsbedingungen festgelegt ist. Nach Ablauf dieser Zeit wird ein Datum für die Einstellung des Dienstes festgelegt.
Die Binärautorisierung beendet die Unterstützung für die Legacy-Funktion zur kontinuierlichen Validierung (Legacy-CV) mit Singleton-Richtlinien für Projekte für GKE.
- Seit dem 15. April 2024 können Sie die alte Version von CV für Google Kubernetes Engine (GKE) in neuen Projekten nicht mehr aktivieren.
- Mit Legacy-CV werden Ihre GKE-Pods bis zum 1. Mai 2025 weiterhin über Projekt-Singleton-Richtlinien für vorhandene Projekte überwacht, für die sie bereits aktiviert ist. Nach dem 1. Mai 2025 werden Ihre Pods nicht mehr vom alten CV überwacht und es werden keine Cloud Logging-Einträge mehr für Pod-Images erstellt, die nicht der Singleton-Richtlinie für die Binärautorisierung des Projekts entsprechen.
Ersatz: Kontinuierliche Validierung (CV) mit prüfbasierten Plattformrichtlinien
Überwachen Sie Ihre Pods mit der kontinuierlichen Validierung (CV) mit prüfbasierten Plattformrichtlinien.
Neben der Unterstützung von Attestierungen können Sie mit checkbasierten Plattformrichtlinien die Metadaten von Container-Images überwachen, die Ihren Pods zugeordnet sind, um potenzielle Sicherheitsprobleme zu beheben. CV-prüfbasierte Richtlinien enthalten Prüfungen, die Folgendes umfassen:
- Prüfung auf Sicherheitslücken: Das Image wird auf Sicherheitslücken mit einem von Ihnen definierten Schweregrad geprüft.
- Sigstore-Prüfung: Das Image hat Attestierungen, die von Sigstore signiert sind.
- SLSA-Prüfung: Das Image wurde aus dem Quellcode in einem vertrauenswürdigen Verzeichnis und von einem vertrauenswürdigen Builder erstellt.
- Prüfung auf vertrauenswürdiges Verzeichnis: Das Image muss sich in einem vertrauenswürdigen Verzeichnis in einem vertrauenswürdigen Image-Repository befinden.
Wie bei der vorherigen kontinuierlichen Validierung werden auch bei der CV mit prüfbasierten Richtlinien Pods mit nicht konformen Images in Logging protokolliert.
Wenn Sie die kontinuierliche Legacy-Validierung (Legacy-CV) verwenden, lesen Sie den Abschnitt Migration.
Weitere Informationen zur Verwendung von CV mit prüfbasierten Plattformrichtlinien finden Sie unter Übersicht über die kontinuierliche Validierung.
Migration
So migrieren Sie von einer alten CV-Projekt-Singleton-Richtlinie zu einer entsprechenden prüfbasierten Plattformrichtlinie:
- Erstellen Sie für eine
ALWAYS_ALLOW-Projekt-Singleton-Richtlinie eine prüfbasierte Plattformrichtlinie ohnecheckSet-Block. - Erstellen Sie für eine
ALWAYS_DENY-Projekt-Singleton-Richtlinie eine prüfbasierte Plattformrichtlinie mit einem einzelnencheckSet-Block, der einealwaysDeny-Prüfung enthält. - Erstellen Sie für eine Projekt-Singleton-Richtlinie, die Attestierungen erfordert, eine einzelne prüfbasierte Richtlinie. Fügen Sie dann für jeden Attestierer in der Projekt-Singleton-Richtlinie eine SimpleSigningAttestationCheck-Instanz für die prüfbasierte Richtlinie hinzu. Wenn Sie dasselbe Schlüsselpaar verwenden, funktioniert die Prüfung weiterhin mit Ihren vorhandenen Attestierungen und es werden nur Pod-Images protokolliert, die keine gültigen Attestierungen haben.
Prüfbasierte Plattformrichtlinien sind auf einen GKE-Cluster und nicht auf ein Google Cloud Projekt beschränkt. Nachdem Sie eine prüfungsbasierte Plattformrichtlinie erstellt haben, können Sie sie auf einen oder mehrere Cluster anwenden.
Wenn Sie CV mit prüfbasierten Plattformrichtlinien in einem Cluster aktivieren möchten, müssen die Binärautorisierungseinstellungen des Clusters während der Clustererstellung oder -aktualisierung konfiguriert werden.