Esta página mostra como usar a validação contínua (CV) da autorização binária para fazer uma verificação de diretório fidedigno e verificar se as imagens associadas aos pods em execução em clusters do Google Kubernetes Engine (GKE) com CV foram implementadas a partir de diretórios fidedignos.
Custos
Este guia usa os seguintes Google Cloud serviços:
- Autorização binária, mas a CV está disponível sem custo financeiro durante a fase de pré-visualização
- GKE
Para gerar uma estimativa de custos com base na sua utilização projetada, use a calculadora de preços.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
Install the Google Cloud CLI.
-
Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init -
Create or select a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_IDwith a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_IDwith your Google Cloud project name.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Binary Authorization, Google Kubernetes Engine APIs:
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.gcloud services enable artifactregistry.googleapis.com
binaryauthorization.googleapis.com container.googleapis.com -
Install the Google Cloud CLI.
-
Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init -
Create or select a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_IDwith a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_IDwith your Google Cloud project name.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Binary Authorization, Google Kubernetes Engine APIs:
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.gcloud services enable artifactregistry.googleapis.com
binaryauthorization.googleapis.com container.googleapis.com - Certifique-se de que a CLI gcloud está atualizada para a versão mais recente.
- Instale a ferramenta de linha de comandos
kubectl. - Se as suas políticas de autorização binária e clusters do GKE estiverem em projetos diferentes, certifique-se de que a autorização binária está ativada em ambos os projetos.
-
Se o projeto do cluster for diferente do projeto da política:
Binary Authorization Policy Evaluator (
roles/binaryauthorization.policyEvaluator) – o agente do serviço de autorização binária do projeto do cluster, para aceder ao projeto da política Obtenha o agente do serviço de Autorização binária do projeto do cluster:
PROJECT_NUMBER=$(gcloud projects list --filter="projectId:CLUSTER_PROJECT_ID" \ --format="value(PROJECT_NUMBER)") CLUSTER_SERVICE_ACCOUNT="service-$PROJECT_NUMBER@gcp-sa-binaryauthorization.iam.gserviceaccount.com"Substitua
CLUSTER_PROJECT_IDpelo ID do projeto do cluster.Permitir que o CV avalie a política no cluster:
gcloud projects add-iam-policy-binding POLICY_PROJECT_ID \ --member="serviceAccount:$CLUSTER_SERVICE_ACCOUNT" \ --role='roles/binaryauthorization.policyEvaluator'Substitua
POLICY_PROJECT_IDpelo ID do projeto que contém a sua política.Crie o ficheiro YAML da política de diretório fidedigno:
cat > /tmp/my-policy.yaml <<EOF gkePolicy: checkSets: checks: trustedDirectoryCheck: trustedDirPatterns: - PATTERN1 - PATTERN2 displayName: CHECK_DISPLAY_NAME displayName: CHECK_SET_DISPLAY_NAME EOFSubstitua o seguinte:
PATTERN1: um item de lista com um padrão de diretórioPATTERN2: um item de lista com um padrão de diretórioCHECK_DISPLAY_NAME: um nome a apresentar opcional para a verificação do diretório fidedignoCHECK_SET_DISPLAY_NAME: um nome a apresentar opcional para a verificação do diretório fidedigno
Seguem-se alguns exemplos de padrões:
asia-east1-docker.pkg.dev/my-project/my-repo: confia apenas neste repositórioeurope-central1-docker.pkg.dev/my-project/my-repo/test*: confia apenas neste repositório e nos repositórios imediatamente abaixo deste que começam portestus-central1-docker.pkg.dev/my-project/my-repo/**: confia apenas neste repositório e em todos os repositórios abaixo dele
Crie a política da plataforma:
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
- POLICY_ID: Um ID de política da plataforma
à sua escolha. Se a política estiver noutro projeto, pode usar o nome completo do recurso:
projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID. - POLICY_PATH: um caminho para o ficheiro de política.
- POLICY_PROJECT_ID: o ID do projeto da política.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud beta container binauthz policy create POLICY_ID \ --platform=gke \ --policy-file=POLICY_PATH \ --project=POLICY_PROJECT_ID
Windows (PowerShell)
gcloud beta container binauthz policy create POLICY_ID ` --platform=gke ` --policy-file=POLICY_PATH ` --project=POLICY_PROJECT_ID
Windows (cmd.exe)
gcloud beta container binauthz policy create POLICY_ID ^ --platform=gke ^ --policy-file=POLICY_PATH ^ --project=POLICY_PROJECT_ID
- POLICY_ID: Um ID de política da plataforma
à sua escolha. Se a política estiver noutro projeto, pode usar o nome completo do recurso:
CLUSTER_NAME: um nome do cluster.LOCATION: a localização, por exemplo,us-central1ouasia-south1.POLICY_PROJECT_ID: o ID do projeto onde a política está armazenada.POLICY_ID: o ID da política.CLUSTER_PROJECT_ID: o ID do projeto do cluster.CLUSTER_NAME: um nome do cluster.LOCATION: a localização, por exemplo,us-central1ouasia-south1.POLICY_PROJECT_ID: o ID do projeto onde a política está armazenada.POLICY_ID: o ID da política.CLUSTER_PROJECT_ID: o ID do projeto do cluster.CLUSTER_NAME: o nome do clusterLOCATION: a localização, por exemplo:us-central1ouasia-south1POLICY_PROJECT_ID: o ID do projeto onde a política está armazenadaPOLICY_ID: o ID da políticaCLUSTER_PROJECT_ID: o ID do projeto do clusterCLUSTER_NAME: um nome de clusterLOCATION: a localização, por exemplo:us-central1ouasia-south1POLICY_PROJECT_ID: o ID do projeto onde a política está armazenadaPOLICY_ID: o ID da políticaCLUSTER_PROJECT_ID: o ID do projeto do clusterImageFreshnessCheckSigstoreSignatureCheckSimpleSigningAttestationCheckSlsaCheckTrustedDirectoryCheckVulnerabilityCheckCLUSTER_NAME: o nome do clusterLOCATION: a localização do clusterCLUSTER_PROJECT_ID: o ID do projeto do clusterCLUSTER_NAME: o nome do clusterLOCATION: a localização do clusterCLUSTER_PROJECT_ID: o ID do projeto do clusterPOLICY_ID: o ID da políticaPOLICY_PROJECT_ID: o ID do projeto da política- Use a verificação da atualização das imagens
- Use a verificação de atestação de assinatura simples
- Use a verificação de assinatura do Sigstore
- Use a verificação SLSA
- Use a verificação de diretório fidedigno
- Use a verificação de vulnerabilidades
- Veja os registos de CV
Funções necessárias
Esta secção mostra como definir funções para esta verificação.
Vista geral
Se executar todos os produtos mencionados neste guia no mesmo projeto, não tem de definir autorizações. A autorização binária configura as funções corretamente quando a ativa. Se executar os produtos em projetos diferentes, tem de definir a função conforme descrito nesta secção.
Para garantir que o agente de serviço da Autorização binária do projeto do cluster tem as autorizações necessárias para avaliar a verificação do diretório fidedigno do CV, peça ao seu administrador para conceder ao agente de serviço da Autorização binária do projeto do cluster as seguintes funções de IAM no projeto:
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
O administrador também pode conceder ao agente de serviço da Autorização binária do projeto do cluster as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Conceda funções através da CLI gcloud
Se o projeto onde executa o cluster for diferente do projeto onde reside a política, faça o seguinte para conceder autorização ao agente de serviço da Autorização binária do projeto do cluster para aceder à política no projeto da política.
Crie uma política de plataforma
Para criar uma política de CV com uma verificação de diretório fidedigno, faça o seguinte:
Ative o CV
Pode criar um novo cluster ou atualizar um cluster existente para usar a monitorização de CV com políticas da plataforma baseadas em verificações.
Crie um cluster que use a monitorização de CV
Nesta secção, cria um cluster que usa apenas a monitorização de CV com políticas da plataforma baseadas em verificações.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Crie um cluster que use a aplicação e a monitorização de CV
Nesta secção, cria um cluster que usa a aplicação de políticas project-singleton e a monitorização de CV com políticas da plataforma baseadas em verificações:
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Atualize um cluster para usar a monitorização de CV
Nesta secção, atualiza um cluster para usar a monitorização de CV apenas com políticas da plataforma baseadas em verificações. Se o cluster já tiver a aplicação de políticas de instância única do projeto ativada, a execução deste comando desativa-a. Em alternativa, considere atualizar o cluster com a aplicação e a monitorização de CV ativadas.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Atualize um cluster para usar a aplicação e a monitorização de CV
Nesta secção, atualiza um cluster para usar a aplicação da política de singleton do projeto e a monitorização de CV com políticas da plataforma baseadas em verificações.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud beta container clusters update CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters update CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters update CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
Veja os registos das entradas de CV
Pode pesquisar entradas do Cloud Logging para encontrar erros de configuração do CV e violações de validação de políticas da plataforma do CV.
O CV regista erros e violações no Cloud Logging no prazo de 24 horas. Normalmente, pode ver as entradas no prazo de algumas horas.
Veja os registos de erros de configuração do CV
Para ver os registos de erros de configuração de CV, execute o seguinte comando:
gcloud logging read \
--order="desc" \
--freshness=7d \
--project=CLUSTER_PROJECT_ID \
'logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation" "configErrorEvent"'
A saída seguinte mostra um erro de configuração em que não é encontrada uma política da plataforma de CV:
{
"insertId": "141d4f10-72ea-4a43-b3ec-a03da623de42",
"jsonPayload": {
"@type": "type.googleapis.com/google.cloud.binaryauthorization.v1beta1.ContinuousValidationEvent",
"configErrorEvent": {
"description": "Cannot monitor cluster 'us-central1-c.my-cluster': Resource projects/123456789/platforms/gke/policies/my-policy does not exist."
}
},
"resource": {
"type": "k8s_cluster",
"labels": {
"cluster_name": "my-cluster",
"location": "us-central1-c",
"project_id": "my-project"
}
},
"timestamp": "2024-05-28T15:31:03.999566Z",
"severity": "WARNING",
"logName": "projects/my-project/logs/binaryauthorization.googleapis.com%2Fcontinuous_validation",
"receiveTimestamp": "2024-05-28T16:30:56.304108670Z"
}
Veja as violações de validação da política da plataforma CV
Se nenhuma imagem violar as políticas da plataforma que ativou, não são apresentadas entradas nos registos.
Para ver as entradas do registo de CV dos últimos sete dias, execute o seguinte comando:
gcloud logging read \
--order="desc" \
--freshness=7d \
--project=CLUSTER_PROJECT_ID \
'logName:"binaryauthorization.googleapis.com%2Fcontinuous_validation" "policyName"'
Substitua CLUSTER_PROJECT_ID pelo ID do projeto do cluster.
Tipos de verificações
Os registos de CV verificam as informações de violação para checkResults. Na entrada, o valor checkType indica a verificação. Os valores de cada verificação são os seguintes:
Exemplo de registo
A seguinte entrada de registo de CV descreve uma imagem não conforme que viola uma verificação de diretório fidedigno:
{
"insertId": "637c2de7-0000-2b64-b671-24058876bb74",
"jsonPayload": {
"podEvent": {
"endTime": "2022-11-22T01:14:30.430151Z",
"policyName": "projects/123456789/platforms/gke/policies/my-policy",
"images": [
{
"result": "DENY",
"checkResults": [
{
"explanation": "TrustedDirectoryCheck at index 0 with display name \"My trusted directory check\" has verdict NOT_CONFORMANT. Image is not in a trusted directory",
"checkSetName": "My check set",
"checkSetIndex": "0",
"checkName": "My trusted directory check",
"verdict": "NON_CONFORMANT",
"checkType": "TrustedDirectoryCheck",
"checkIndex": "0"
}
],
"image": "gcr.io/my-project/hello-app:latest"
}
],
"verdict": "VIOLATES_POLICY",
"podNamespace": "default",
"deployTime": "2022-11-22T01:06:53Z",
"pod": "hello-app"
},
"@type": "type.googleapis.com/google.cloud.binaryauthorization.v1beta1.ContinuousValidationEvent"
},
"resource": {
"type": "k8s_cluster",
"labels": {
"project_id": "my-project",
"location": "us-central1-a",
"cluster_name": "my-test-cluster"
}
},
"timestamp": "2022-11-22T01:44:28.729881832Z",
"severity": "WARNING",
"logName": "projects/my-project/logs/binaryauthorization.googleapis.com%2Fcontinuous_validation",
"receiveTimestamp": "2022-11-22T03:35:47.171905337Z"
}
Limpar
Esta secção descreve como limpar a monitorização de CV que configurou anteriormente neste guia.
Pode desativar a monitorização de CV ou a autorização binária e a CV no seu cluster.
Desative a Autorização binária num cluster
Para desativar a aplicação da CV e da autorização binária no seu cluster, execute o seguinte comando:
gcloud beta container clusters update CLUSTER_NAME \
--binauthz-evaluation-mode=DISABLED \
--location=LOCATION \
--project=CLUSTER_PROJECT_ID
Substitua o seguinte:
Desative a monitorização de políticas baseada em verificações num cluster
Para desativar a CV com políticas baseadas em verificações no cluster e reativar a aplicação através da política de aplicação da autorização binária, execute o seguinte comando:
gcloud beta container clusters update CLUSTER_NAME \
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
--location=LOCATION \
--project="CLUSTER_PROJECT_ID"
Substitua o seguinte:
Tenha em atenção que --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE é
equivalente à flag mais antiga --enable-binauthz.
Elimine a política
Para eliminar a política, execute o seguinte comando. Não é necessário eliminar a política da plataforma baseada em verificações para desativar a auditoria de políticas baseadas em verificações.
gcloud beta container binauthz policy delete POLICY_ID \
--platform=gke \
--project="POLICY_PROJECT_ID"
Substitua o seguinte: