Persyaratan Layanan Google Cloud Platform (bagian "Penghentian Layanan") menetapkan kebijakan penghentian layanan yang berlaku untuk Binary Authorization. Kebijakan penghentian layanan hanya berlaku untuk layanan, fitur, atau produk yang tercantum di dalamnya.
Setelah layanan, fitur, atau produk secara resmi tidak digunakan lagi, layanan, fitur, atau produk tersebut akan terus tersedia setidaknya selama jangka waktu yang ditentukan dalam Persyaratan Layanan. Setelah jangka waktu ini, layanan akan dijadwalkan untuk dimatikan.
Otorisasi Biner mengakhiri dukungan untuk validasi berkelanjutan lama (CV lama) dengan kebijakan singleton project untuk GKE.
- Mulai 15 April 2024, Anda tidak dapat mengaktifkan CV lama untuk Google Kubernetes Engine (GKE) di project baru.
- CV lama akan terus memantau Pod GKE Anda melalui kebijakan project singleton untuk project yang sudah mengaktifkannya hingga 1 Mei 2025. Setelah 1 Mei 2025, CV lama tidak akan lagi memantau Pod Anda, dan entri Cloud Logging tidak akan lagi dibuat untuk gambar Pod yang tidak sesuai dengan kebijakan Otorisasi Biner project-singleton.
Penggantian: Validasi berkelanjutan (CV) dengan kebijakan platform berbasis pemeriksaan
Pantau Pod Anda menggunakan validasi berkelanjutan (CV) dengan kebijakan platform berbasis pemeriksaan.
Selain dukungan untuk pengesahan, kebijakan platform berbasis pemeriksaan memungkinkan Anda memantau metadata image container yang terkait dengan Pod untuk membantu Anda memitigasi potensi masalah keamanan. Kebijakan berbasis pemeriksaan CV memberikan pemeriksaan yang mencakup hal berikut:
- Pemeriksaan kerentanan: Gambar diperiksa untuk mengetahui kerentanan keamanan yang berada pada tingkat keparahan yang Anda tentukan.
- Pemeriksaan Sigstore: Image memiliki pengesahan yang ditandatangani oleh sigstore.
- Pemeriksaan SLSA: Image dibuat dari sumber di direktori tepercaya dan oleh builder tepercaya.
- Pemeriksaan direktori tepercaya: Image harus berada di direktori tepercaya dalam repositori image tepercaya.
Seperti validasi berkelanjutan lama, CV dengan kebijakan berbasis pemeriksaan juga mencatat Pod dengan image yang tidak sesuai ke Logging.
Jika Anda menggunakan validasi berkelanjutan lama (CV lama), lihat Migrasi.
Untuk mengetahui informasi selengkapnya tentang cara menggunakan CV dengan kebijakan platform berbasis pemeriksaan, lihat Ringkasan validasi berkelanjutan.
Migrasi
Untuk bermigrasi dari kebijakan singleton project CV lama ke kebijakan platform berbasis pemeriksaan yang setara, lakukan hal berikut:
- Untuk kebijakan singleton project
ALWAYS_ALLOW, buat kebijakan platform berbasis pemeriksaan tanpa blokcheckSet. - Untuk kebijakan singleton project
ALWAYS_DENY, buat kebijakan platform berbasis pemeriksaan dengan satu blokcheckSetyang memiliki pemeriksaanalwaysDeny. - Untuk kebijakan singleton project yang memerlukan pengesahan, buat kebijakan berbasis pemeriksaan tunggal, dan untuk setiap pengesah dalam kebijakan singleton project, tambahkan satu SimpleSigningAttestationCheck ke kebijakan berbasis pemeriksaan. Dengan menggunakan pasangan kunci yang sama, pemeriksaan akan terus berfungsi dengan pengesahan yang ada, dan hanya mencatat image Pod yang tidak memiliki pengesahan yang valid.
Kebijakan platform berbasis pemeriksaan dicakup ke cluster GKE, bukan Google Cloud project. Setelah membuat kebijakan platform berbasis pemeriksaan, Anda dapat menerapkan kebijakan tersebut ke satu atau beberapa cluster.
Untuk mengaktifkan CV dengan kebijakan platform berbasis pemeriksaan pada cluster, setelan Otorisasi Biner cluster harus dikonfigurasi selama proses pembuatan atau update cluster.