menu
arrow_back

Sécurité de Google Kubernetes Engine : autorisation binaire

—/100

Checkpoints

arrow_forward

Create a Kubernetes Cluster with Binary Authorization

Update Binary Authorization Policy to add Disallow all images rule at project level and allow at cluster level

Update cluster specific policy to Disallow all images

Create a Nginx pod to verify cluster admission rule is applied for disallow all images (denies to create)

Update BA policy to denying images except from whitelisted container registries (your project container registry)

Update BA policy to modify cluster specific rule to allow only images that have been approved by attestors

Tear Down (delete cluster)

Sécurité de Google Kubernetes Engine : autorisation binaire

1 heure 30 minutes 7 crédits

GKE-Engine.png

GSP479

Google Cloud – Ateliers adaptés au rythme de chacun

Aperçu

L'un des principaux problèmes de sécurité concernant l'exécution de clusters Kubernetes est de savoir quelles images de conteneurs sont en cours d'exécution à l'intérieur de chaque pod, et d'être capable d'en expliquer l'origine. Établir "l'origine du conteneur" signifie être capable de tracer la source d'un conteneur à un point d'origine de confiance et de s'assurer que votre organisation suit les processus souhaités lors de la création de l'artefact (conteneur).

Voici quelques-uns des problèmes principaux :

  • Origine sûre : Comment s'assurer que toutes les images du conteneur en cours d'exécution dans le cluster proviennent d'une source approuvée ?
  • Cohérence et validation : Comment s'assurer que toutes les étapes de validation souhaitées ont été effectuées pour chaque création de conteneur et chaque déploiement ?
  • Intégrité : Comment s'assurer qu'une fois leur origine prouvée, les conteneurs n'ont pas été modifiés avant l'exécution ?

Du point de vue de la sécurité, il est risqué de ne pas prendre de mesures concernant l'origine des images :

  • Sans mesures d'application, un individu malveillant ayant compromis un conteneur pourrait réussir à obtenir des privilèges de clusters suffisants pour lancer d'autres conteneurs depuis une source inconnue.
  • Un utilisateur autorisé à créer des pods pourrait, de façon accidentelle ou malveillante, exécuter un conteneur indésirable directement à l'intérieur d'un cluster.
  • Un utilisateur autorisé pourrait, de façon accidentelle ou malveillante, écraser un tag d'image Docker avec un conteneur fonctionnel auquel on aurait ajouté silencieusement un code indésirable, et que Kubernetes extrairait et déploierait automatiquement dans le cadre d'un déploiement.

Pour aider les opérateurs de systèmes à résoudre ces problèmes, Google Cloud Platform offre une fonctionnalité appelée autorisation binaire. L'autorisation binaire est un service géré de GCP. Ce service fonctionne étroitement avec GKE pour mettre en place des vérifications de sécurité lors du déploiement afin de s'assurer que seules les images de conteneurs de confiance sont déployées. Avec l'autorisation binaire, vous pouvez mettre des registres de conteneurs en liste blanche, exiger que les images soient signées par des autorités de confiance et mettre en place ces stratégies de manière centralisée. Grâce à cette stratégie, vous pouvez obtenir un contrôle plus étroit sur votre environnement de conteneurs en vous assurant que seules les images approuvées ou vérifiées sont intégrées dans le processus de compilation et de déploiement.

Cet atelier déploie un cluster Kubernetes Engine avec la fonctionnalité d'autorisation binaire activée, et montre comment mettre en liste blanche des registres de conteneurs approuvés. L'atelier vous guide dans le processus de création et d'exécution d'un conteneur signé.

Cet atelier a été conçu par les ingénieurs de GKE Helmsman pour vous aider à mieux comprendre l'autorisation binaire GKE. Cliquez ici pour visualiser cette démonstration sur GitHub. Nous invitons chacun à enrichir nos ressources !

Inscrivez-vous sur Qwiklabs pour consulter le reste de cet atelier, et bien plus encore.

  • Obtenez un accès temporaire à Google Cloud Console.
  • Plus de 200 ateliers, du niveau débutant jusqu'au niveau expert.
  • Fractionné pour vous permettre d'apprendre à votre rythme.
Inscrivez-vous pour démarrer cet atelier