menu
arrow_back

Segurança do Google Kubernetes Engine: autorização binária

—/100

Checkpoints

arrow_forward

Create a Kubernetes Cluster with Binary Authorization

Update Binary Authorization Policy to add Disallow all images rule at project level and allow at cluster level

Update cluster specific policy to Disallow all images

Create a Nginx pod to verify cluster admission rule is applied for disallow all images (denies to create)

Update BA policy to denying images except from whitelisted container registries (your project container registry)

Update BA policy to modify cluster specific rule to allow only images that have been approved by attestors

Tear Down (delete cluster)

Segurança do Google Kubernetes Engine: autorização binária

1 hora 30 minutos 7 créditos

GKE-Engine.png

GSP479

Laboratórios autoguiados do Google Cloud

Visão geral

Uma das principais preocupações de segurança ao executar clusters do Kubernetes é saber quais imagens de contêiner estão em execução em cada pod e identificar as origens. Para definir a "procedência", é preciso rastrear o contêiner até um ponto de origem confiável e garantir que a organização siga os processos desejados durante a criação do artefato (contêiner).

Veja algumas das principais preocupações:

  • Origem segura: como garantir que todas as imagens de contêiner em execução no cluster são de uma origem aprovada?
  • Consistência e validação: como verificar se todas as etapas de validação desejadas foram concluídas em cada criação e implantação do contêiner?
  • Integridade: como garantir que os contêineres não foram modificados antes da execução e depois que a procedência foi comprovada?

Do ponto de vista da segurança, não restringir a origem das imagens apresenta vários riscos:

  • Uma pessoa mal-intencionada que comprometeu um contêiner pode conseguir privilégios de cluster suficientes para iniciar outros contêineres de uma origem desconhecida sem restrição.
  • Um usuário autorizado com permissões para criar pods talvez consiga executar acidentalmente ou de maneira mal-intencionada um contêiner indesejado diretamente em um cluster.
  • Um usuário autorizado pode, acidentalmente ou de maneira mal-intencionada, substituir uma tag de imagem do Docker por um contêiner funcional com código indesejado adicionado de modo silencioso. Em seguida, o Kubernetes extrai e implanta automaticamente esse contêiner como parte de uma implantação.

Para ajudar os operadores de sistemas a resolver esses riscos, o Google Cloud Platform oferece um recurso chamado autorização binária. Ele é um serviço gerenciado do GCP que trabalha com o GKE para aplicar controles de segurança no momento da implantação e garantir que apenas imagens de contêiner confiáveis sejam implantadas. Com a autorização binária, é possível colocar registros de contêiner na lista de permissões, exigir que as imagens sejam assinadas por autoridades confiáveis e aplicar essas políticas de maneira centralizada. Ao aplicar essa política, você tem mais controle do ambiente do contêiner e garante que somente imagens aprovadas e/ou verificadas sejam integradas ao processo de criação e lançamento.

Este laboratório implanta um cluster do Kubernetes Engine com o recurso de autorização binária ativado, demonstra como colocar registros de contêiner na lista de permissões e mostra o processo de criação e execução de um contêiner assinado.

Ele foi criado pelos engenheiros do GKE Helmsman para explicar a autorização binária do GKE. Clique aqui para ver a demonstração no GitHub. Incentivamos todos a contribuir com nossos recursos.

Participe do Qwiklabs para ler o restante deste laboratório e muito mais!

  • Receber acesso temporário a Console do Google Cloud.
  • Mais de 200 laboratórios, do nível iniciante ao avançado.
  • Tamanho compacto para que você possa aprender no seu próprio ritmo.
Participe para iniciar este laboratório