ある企業が、本番Google Cloudリソースへの変更管理プロセスを強化したいと考えています。TerraformによるIaCとGoogle Cloudの「Binary Authorization」の組み合わせで実現できることとして、最も正確なものはどれですか?
- A. Binary AuthorizationはTerraformのコードレビューを自動化するサービスである
- B. Binary AuthorizationはCloud Storageにアップロードされたファイルのウイルススキャンを行うサービスである
- C. Binary AuthorizationはGKEやCloud Runにデプロイされるコンテナイメージに対して、信頼できるCI/CDパイプラインで署名・検証されたイメージのみのデプロイを強制するポリシーサービスであり、未承認イメージのデプロイを防止できる
- D. Binary Authorizationはバイナリ(実行可能ファイル)のコンパイルを管理するサービスである
解答と解説を見る
正解: C
Binary AuthorizationはGKEやCloud Runにデプロイされるコンテナイメージに対してソフトウェアサプライチェーンセキュリティを適用するサービス。CI/CDパイプライン(Cloud Build等)でビルド・テスト・脆弱性スキャンを通過したイメージにのみデジタル署名(Attestation)を付与し、署名されていない(未承認の)コンテナイメージのデプロイをポリシーでブロックする。これにより本番環境に未検証のコードが入らない保証を提供できる。バイナリコンパイル管理ではなく、IaCコードレビューの自動化でもなく、ウイルススキャンでもない。
📚 関連サービスの解説: Google Kubernetes Engine(GKE) ・ Cloud Run