Einstellung und Abschaltung der kontinuierlichen Legacy-Validierung

In den Nutzungsbedingungen der Google Cloud Platform (Abschnitt "Einstellung von Diensten") ist die für die Binärautorisierung geltende Richtlinie zur Einstellung von Produkten und Diensten definiert. Die Richtlinie zur Einstellung von Produkten und Diensten gilt nur für die Dienste, Features oder die darin aufgeführten Produkte.

Nachdem ein Dienst, ein Feature oder ein Produkt offiziell verworfen wurde, ist es noch mindestens während des Zeitraums verfügbar, der in den Nutzungsbedingungen festgelegt ist. Nach Ablauf dieser Zeit wird ein Datum für den Shutdown festgelegt.

Die Binärautorisierung beendet die Unterstützung für die vorherige kontinuierliche Validierung (Legacy CV) mit Projekt-Singleton-Richtlinien für GKE.

  • Seit dem 15. April 2024 können Sie die vorherige kontinuierliche Validierung für Google Kubernetes Engine (GKE) in neuen Projekten nicht mehr aktivieren.
  • Die vorherige kontinuierliche Validierung überwacht Ihre GKE-Pods weiterhin über Projekt-Singleton-Richtlinien für bestehende Projekte, für die sie bereits aktiviert ist, bis zum 1. Mai 2025. Nach dem 1. Mai 2025 werden Ihre Pods nicht mehr von der vorherigen kontinuierlichen Validierung überwacht und es werden keine Cloud Logging-Einträge mehr für Pod-Images erstellt, die nicht der Projekt-Singleton-Richtlinie für die Binärautorisierung entsprechen.

Ersatz: Kontinuierliche Validierung (CV) mit prüfbasierten Plattformrichtlinien

Überwachen Sie Ihre Pods mit der kontinuierlichen Validierung (CV) mit prüfbasierten Plattformrichtlinien.

Neben der Unterstützung für Attestierungen können Sie mit prüfbasierten Plattformrichtlinien auch die Metadaten von Container-Images überwachen, die mit Ihren Pods verknüpft sind, um potenzielle Sicherheitsprobleme zu minimieren. CV-Richtlinien mit Prüfungen bieten Prüfungen, die Folgendes umfassen:

Wie bei der vorherigen kontinuierlichen Validierung werden auch bei der kontinuierlichen Validierung mit prüfbasierten Richtlinien Pods mit nicht konformen Images in Logging protokolliert.

Wenn Sie die vorherige kontinuierliche Validierung (Legacy CV) verwenden, lesen Sie den Abschnitt Migration.

Weitere Informationen zur Verwendung der kontinuierlichen Validierung mit prüfbasierten Plattformrichtlinien finden Sie unter Übersicht über die kontinuierliche Validierung.

Migration

So migrieren Sie von einer vorherigen kontinuierlichen Validierungsrichtlinie (Legacy CV) für ein einzelnes Projekt zu einer entsprechenden prüfbasierten Plattformrichtlinie:

  • Erstellen Sie für eine ALWAYS_ALLOW-Projekt-Singleton-Richtlinie eine prüfbasierte Plattformrichtlinie ohne checkSet-Block.
  • Erstellen Sie für eine ALWAYS_DENY-Projekt-Singleton-Richtlinie eine prüfbasierte Plattformrichtlinie mit einem einzelnen checkSet-Block, der eine alwaysDeny-Prüfung enthält.
  • Erstellen Sie für eine Projekt-Singleton-Richtlinie, die Attestierungen erfordert, eine einzelne prüfbasierte Richtlinie. Fügen Sie dann für jeden Attestierer in der Projekt-Singleton-Richtlinie eine SimpleSigningAttestationCheck-Instanz für die prüfbasierte Richtlinie hinzu. Wenn Sie dasselbe Schlüsselpaar verwenden, funktioniert die Prüfung weiterhin mit Ihren vorhandenen Attestierungen und protokolliert nur Pod-Images, die keine gültigen Attestierungen haben.

Prüfbasierte Plattformrichtlinien sind auf einen GKE-Cluster und nicht auf ein Google Cloud Projekt beschränkt. Nachdem Sie eine prüfbasierte Plattformrichtlinie erstellt haben, können Sie sie auf einen oder mehrere Cluster anwenden.

Wenn Sie die kontinuierliche Validierung mit prüfbasierten Plattformrichtlinien in einem Cluster aktivieren möchten, müssen die Einstellungen für die Binärautorisierung des Clusters während der Clustererstellung oder -aktualisierung konfiguriert werden.