menu
arrow_back

Seguridad de Google Kubernetes Engine: Autorización binaria

—/100

Checkpoints

arrow_forward

Create a Kubernetes Cluster with Binary Authorization

Update Binary Authorization Policy to add Disallow all images rule at project level and allow at cluster level

Update cluster specific policy to Disallow all images

Create a Nginx pod to verify cluster admission rule is applied for disallow all images (denies to create)

Update BA policy to denying images except from whitelisted container registries (your project container registry)

Update BA policy to modify cluster specific rule to allow only images that have been approved by attestors

Tear Down (delete cluster)

Seguridad de Google Kubernetes Engine: Autorización binaria

1 hora 30 minutos 7 créditos

GKE-Engine.png

GSP479

Labs de autoaprendizaje de Google Cloud

Descripción general

Una de las principales preocupaciones de seguridad al ejecutar clústeres de Kubernetes es saber qué imágenes de contenedor se ejecutan en cada Pod y poder dar cuenta de su origen. Establecer la "procedencia del contenedor" significa tener la capacidad de realizar un seguimiento de la fuente de un contenedor hasta un punto de origen confiable y garantizar que su organización siga los procesos deseados durante la creación del artefacto (contenedor).

Las siguientes son algunas de las inquietudes principales:

  • Origen seguro: ¿Cómo garantiza que todas las imágenes de contenedor que se ejecutan en el clúster provengan de una fuente aprobada?
  • Coherencia y validación: ¿Cómo garantiza que se hayan completado de forma correcta todos los pasos de validación deseados para cada compilación y cada implementación de un contenedor?
  • Integridad: Una vez probada su procedencia, ¿cómo garantiza que no se hayan modificado los contenedores antes de su ejecución?

Desde el punto de vista de la seguridad, no aplicar controles en relación con el origen de las imágenes presenta varios riesgos:

  • Si no se aplican controles, un actor malicioso que haya comprometido un contenedor podría obtener privilegios de clúster suficientes para lanzar otros contenedores desde una fuente desconocida.
  • Un usuario autorizado con permisos para crear Pods podría ejecutar un contenedor no deseado directamente dentro de un clúster, por accidente o de forma malintencionada.
  • Un usuario autorizado podría reemplazar, por accidente o de forma malintencionada, una etiqueta de imagen de Docker por un contenedor funcional con un código no deseado agregado silenciosamente. En este caso, Kubernetes extraería e implementaría el contenedor de forma automática como parte de una implementación.

A fin de ayudar a los operadores de sistemas a evitar estos problemas, Google Cloud Platform ofrece una función llamada autorización binaria. La autorización binaria es un servicio administrado de GCP que funciona en conjunto con GKE para aplicar controles de seguridad en el momento de la implementación a fin de garantizar que solo se implementen imágenes de contenedor confiables. Con la autorización binaria, puede incluir registros de Container Registry en la lista blanca, exigir que autoridades confiables firmen las imágenes y aplicar esas políticas de manera centralizada. Al aplicar esta política, podrá ejercer un mayor control sobre su entorno de contenedores, ya que se asegurará de que solo se integren las imágenes aprobadas o verificadas al proceso de compilación y actualización.

En este lab, implementará un clúster de Kubernetes Engine con la función de autorización binaria habilitada y aprenderá cómo incluir los registros aprobados de Container Registry en la lista blanca. Además, se explicará el proceso para crear y ejecutar un contenedor firmado.

Los ingenieros de GKE Helmsman crearon este lab para ayudarlo a comprender mejor la autorización binaria de GKE. Para ver esta demostración en GitHub, haga clic aquí. Lo invitamos a hacer cualquier aporte que crea conveniente.

Únase a Qwiklabs para leer este lab completo… y mucho más.

  • Obtenga acceso temporal a Google Cloud Console.
  • Más de 200 labs para principiantes y niveles avanzados.
  • El contenido se presenta de a poco para que pueda aprender a su propio ritmo.
Únase para comenzar este lab