I Termini di servizio della piattaforma Google Cloud (sezione "Interruzione dei servizi") definiscono le norme sul ritiro applicabili ad Autorizzazione binaria. Le norme sul ritiro si applicano solo ai servizi, funzionalità o ai prodotti elencati.
Una volta che un servizio, una funzionalità o un prodotto viene ritirato ufficialmente , continua a essere disponibile per almeno il periodo di tempo definito nei Termini di servizio. Al termine di questo periodo di tempo, il servizio è pianificato per la chiusura.
Autorizzazione binaria sta terminando il supporto per la convalida continua legacy (CV legacy) con le policy singleton del progetto per GKE.
- A partire dal 15 aprile 2024, non puoi abilitare la CV legacy per Google Kubernetes Engine (GKE) nei nuovi progetti.
- La CV legacy continuerà a monitorare i pod GKE tramite le policy singleton del progetto per i progetti esistenti per cui è già abilitata fino al 1° maggio 2025. Dopo il 1° maggio 2025, la CV legacy non monitorerà più i pod e le voci di Cloud Logging non verranno più generate per le immagini dei pod che non sono conformi alla policy di Autorizzazione binaria singleton del progetto.
Sostituzione: convalida continua (CV) con policy della piattaforma basate su controlli
Monitora i pod utilizzando la convalida continua (CV) con le policy della piattaforma basate su controlli.
Oltre al supporto per le attestazioni, le policy della piattaforma basate su controlli ti consentono di monitorare i metadati delle immagini container associate ai pod per aiutarti a mitigare potenziali problemi di sicurezza. Le policy basate su controlli CV forniscono controlli che includono quanto segue:
- Controllo delle vulnerabilità: L' immagine viene controllata per verificare la presenza di vulnerabilità della sicurezza a un livello di gravità da te definito.
- Controllo Sigstore: l'immagine ha attestazioni firmate da Sigstore.
- Controllo SLSA: l'immagine è stata creata dal codice sorgente in una directory attendibile e da un builder attendibile.
- Controllo della directory attendibile: L'immagine deve risiedere in una directory attendibile all'interno di un repository di immagini attendibile.
Come la convalida continua legacy, la CV con policy basate su controlli registra anche i pod con immagini non conformi in Logging.
Se utilizzi la convalida continua legacy (CV legacy), consulta Migrazione.
Per ulteriori informazioni su come utilizzare la CV con le policy della piattaforma basate su controlli, consulta la panoramica della convalida continua.
Migrazione
Per eseguire la migrazione da una policy CV legacy singleton del progetto a una policy della piattaforma basata su controlli equivalente, procedi nel seguente modo:
- Per una policy singleton del progetto
ALWAYS_ALLOW, crea una policy della piattaforma basata su controlli senza alcun bloccocheckSet. - Per una policy singleton del progetto
ALWAYS_DENY, crea una policy della piattaforma basata su controlli con un singolo bloccocheckSetche abbia un controlloalwaysDeny. - Per una policy singleton del progetto che richiede attestazioni, crea una singola policy basata su controlli e, per ogni attestatore nella policy singleton del progetto, aggiungi un SimpleSigningAttestationCheck alla policy basata su controlli. Utilizzando la stessa coppia di chiavi, il controllo continua a funzionare con le attestazioni esistenti e registra solo le immagini dei pod che non hanno attestazioni valide.
Le policy della piattaforma basate su controlli sono limitate a un cluster GKE, anziché a un progetto. Google Cloud Dopo aver creato una policy della piattaforma basata su controlli, puoi applicarla a uno o più cluster.
Per abilitare la CV con le policy della piattaforma basate su controlli in un cluster, le impostazioni di Autorizzazione binaria del cluster devono essere configurate durante la creazione o l'aggiornamento del cluster.