Les Conditions d'utilisation de Google Cloud Platform (section "Arrêt des Services") définissent le règlement relatif aux abandons applicable à l'autorisation binaire. Le règlement relatif aux abandons ne s'applique qu'aux services, aux fonctionnalités ou aux produits répertoriés ici.
Une fois qu'un service, une fonctionnalité ou un produit est officiellement obsolète, il reste disponible pendant une période au moins égale à celle définie dans les conditions d'utilisation. Passé ce délai, l'abandon du service est planifié.
L'autorisation binaire n'est plus compatible avec l'ancienne validation continue (CV) avec des règles Singleton de projet pour GKE.
- Depuis le 15 avril 2024, vous ne pouvez plus activer l'ancienne CV pour Google Kubernetes Engine (GKE) sur les nouveaux projets.
- L'ancienne CV continuera de surveiller vos pods GKE à l'aide de règles Singleton de projet pour les projets existants pour lesquels elle est déjà activée jusqu'au 1er mai 2025. Après le 1er mai 2025, l'ancienne CV ne surveillera plus vos pods et les entrées Cloud Logging ne seront plus générées pour les images de pods non conformes à la règle d'autorisation binaire Singleton du projet.
Remplacement : validation continue (CV) avec des règles de plate-forme basées sur des vérifications
Surveillez vos pods à l'aide de la validation continue (CV) avec des règles de plate-forme basées sur des vérifications.
En plus de la compatibilité avec les attestations, les règles de plate-forme basées sur des vérifications vous permettent de surveiller les métadonnées des images de conteneurs associées à vos pods afin de vous aider à atténuer les problèmes de sécurité potentiels. Les règles basées sur les vérifications de la CV fournissent des vérifications qui incluent les éléments suivants:
- Vérification des failles : L' image est vérifiée pour détecter les failles de sécurité d'un niveau de gravité que vous définissez.
- Vérification Sigstore : l'image comporte des attestations signées par Sigstore.
- Vérification SLSA : l'image a été créée à partir d'une source dans un répertoire de confiance et par un compilateur de confiance.
- Vérification du répertoire de confiance: l'image doit se trouver dans un répertoire de confiance au sein d'un dépôt d'images de confiance.
Comme l'ancienne validation continue, la CV avec des règles basées sur des vérifications consigne également les pods avec des images non conformes dans Logging.
Si vous utilisez l'ancienne validation continue (CV), consultez la section Migration.
Pour en savoir plus sur l'utilisation de la CV avec des règles de plate-forme basées sur des vérifications, consultez la présentation de la validation continue.
Migration
Pour migrer d'une ancienne règle Singleton de projet de CV vers une règle de plate-forme basée sur des vérifications équivalente, procédez comme suit :
- Pour une règle Singleton de projet
ALWAYS_ALLOW, créez une règle de plate-forme basée sur des vérifications sans bloccheckSet. - Pour une règle Singleton de projet
ALWAYS_DENY, créez une règle de plate-forme basée sur des vérifications avec un seul bloccheckSetcomportant une vérificationalwaysDeny. - Pour une règle Singleton de projet nécessitant des attestations, créez une seule règle basée sur des vérifications, puis ajoutez une vérification SimpleSigningAttestationCheck à la règle basée sur des vérifications pour chaque certificateur de la règle Singleton de projet. En utilisant la même paire de clés, la vérification continue de fonctionner avec vos attestations existantes et ne consigne que les images de pods qui ne possèdent pas d'attestations valides.
Les règles de plate-forme basées sur des vérifications sont limitées à un cluster GKE, et non à un projet. Google Cloud Une fois que vous avez créé une règle de plate-forme basée sur des vérifications, vous pouvez l'appliquer à un ou plusieurs clusters.
Pour activer la CV avec des règles de plate-forme basées sur des vérifications sur un cluster, les paramètres d'autorisation binaire du cluster doivent être configurés lors de la création ou de la mise à jour du cluster.