I Termini di servizio della piattaforma Google Cloud (sezione "Interruzione dei servizi") definiscono le norme di ritiro che si applicano a Binary Authorization. Le norme sul ritiro si applicano solo ai servizi, alle funzionalità o ai prodotti elencati.
Dopo il ritiro ufficiale di un servizio, una funzionalità o un prodotto, questo continua a essere disponibile per almeno il periodo di tempo definito nei Termini di servizio. Al termine di questo periodo di tempo, il servizio verrà chiuso.
Autorizzazione binaria non supporta più la convalida continua legacy (CV legacy) con le policy singleton del progetto per GKE.
- A partire dal 15 aprile 2024, non puoi abilitare la CV legacy per Google Kubernetes Engine (GKE) sui nuovi progetti.
- Legacy CV continuerà a monitorare i tuoi pod GKE tramite le norme singleton del progetto per i progetti esistenti per i quali è già abilitato fino al 1° maggio 2025. Dopo il 1° maggio 2025, la verifica della vulnerabilità legacy non monitorerà più i tuoi pod e le voci di Cloud Logging non verranno più generate per le immagini dei pod che non sono conformi alle norme di Autorizzazione binariaion per il progetto singleton.
Sostituzione: convalida continua (CV) con norme della piattaforma basate su controlli
Monitora i tuoi pod utilizzando la convalida continua (CV) con criteri della piattaforma basati su controlli.
Oltre al supporto per le attestazioni, i criteri della piattaforma basati su controlli ti consentono di monitorare i metadati delle immagini container associate ai tuoi pod per aiutarti a mitigare potenziali problemi di sicurezza. Le norme basate sul controllo del curriculum vitae forniscono controlli che includono quanto segue:
- Controllo delle vulnerabilità: l'immagine viene controllata per rilevare vulnerabilità di sicurezza con un livello di gravità definito dall'utente.
- Controllo Sigstore: l'immagine ha attestazioni firmate da Sigstore.
- Controllo SLSA: l'immagine è stata creata dall'origine in una directory attendibile e da un builder attendibile.
- Controllo della directory attendibile: L'immagine deve risiedere in una directory attendibile all'interno di un repository di immagini attendibile.
Come la convalida continua legacy, la convalida continua con criteri basati su controlli registra anche i pod con immagini non conformi in Logging.
Se utilizzi la convalida continua precedente, consulta la sezione Migrazione.
Per saperne di più su come utilizzare la convalida continua con le norme della piattaforma basate su controlli, consulta la Panoramica della convalida continua.
Migrazione
Per eseguire la migrazione da un criterio project-singleton legacy di CV a un criterio della piattaforma basato su controlli equivalente, segui questi passaggi:
- Per un criterio
ALWAYS_ALLOWsingleton del progetto, crea un criterio della piattaforma basato su controlli senza alcun bloccocheckSet. - Per una policy project-singleton
ALWAYS_DENY, crea una policy della piattaforma basata su controlli con un singolo bloccocheckSetche abbia un controlloalwaysDeny. - Per una norma singleton del progetto che richiede attestazioni, crea una norma basata su un singolo controllo e, per ogni attestatore nella norma singleton del progetto, aggiungi un SimpleSigningAttestationCheck alla norma basata sul controllo. Utilizzando la stessa coppia di chiavi, il controllo continua a funzionare con le attestazioni esistenti e registra solo le immagini dei pod che non hanno attestazioni valide.
Le policy della piattaforma basate su controlli sono limitate a un cluster GKE, anziché a un progetto. Google Cloud Dopo aver creato una norma della piattaforma basata su controlli, puoi applicarla a uno o più cluster.
Per abilitare la verifica della conformità con le policy della piattaforma basate su controlli su un cluster, le impostazioni di Autorizzazione binaria del cluster devono essere configurate durante il processo di creazione o aggiornamento del cluster.