Google云计算用户现可以使用容器供应链安全工具Voucher,确保部署到生产环境程序代码的安全性。Voucher是由电子商务公司Shopify所开发,可在Google云计算评估CI/CD所创建的容器镜像文件,并仅于满足预先定义的安全标准下,才给予这些镜像文件签章,二进制授权(Binary Authorization)会在部署时验证签章,确保符组成织政策和法遵要求的程序代码,才能部署到生产环境中。
不少开发人员使用Kubernetes构建可扩展软件,但Google提到,要安全的进行扩展,必需要在软件供应链加入治理能力,包括托管安全基础镜像文件、容器注册表漏洞扫描,以及二进制授权等,才能保证大量部署的程序代码品质。
而Voucher则可以补齐二进制授权工具链,让用户保护软件供应工作管线,Voucher是一个开源工具,遵循元资料服务器Grafeas规范,其生成的签章,可供二进制授权或是Kubernetes政策引擎Kritis使用。
用户可在镜像文件构建之后,在生产部署之前,于CI/DC工作管线调用Voucher,Voucher会从镜像文件注册表中,截取新构建的镜像文件,并且进行用户要求的所有检查,一旦通过检查,Voucher便会为该镜像文件产生证明,这些证明会被推送到元资料服务器中,供Kritis进行验证。
Voucher让基础设施工程师,可以使用二进制授权来强制实施安全需求,像是限制镜像文件出处,或是阻挡易受攻击的镜像文件,仅能使用目前没有任何已知漏洞的镜像文件等。Shopify资深基础设施安全工程师Cat Jones提到,Shopify每天要交付超过8,000个软件版本,并维护内置330,000个容器的注册表,因此Shopify和Google一起设计了Voucher,以利用安全且全面的方法,来验证要交付到生产环境的镜像文件。
结合Voucher、具漏洞扫描功能的容器镜像文件以及二进制授权,用户能以多层安全策略,来防护生产系统,并且尽可能减少对交付速度的影响。不过,Google提醒,为了避免特权升级的问题,签章步骤应该托管在CI/CD工作管线之外,虽然这样会给DevOps团队带来大量的负担,但是Voucher能够自动化进行大部分的设置,用户仅需要在二进制授权中指定签章政策。
现在用户已经可以在Google云计算中使用Voucher,可以选择从GitHub中下载,或是从Google云计算市场中,安装快速部署版本。