Sdílet prostřednictvím

Přehled fáze Získání

  • Článek

Získání imagí externích kontejnerů, které se mají použít jako základní image nebo image nástrojů, je první fází dodavatelského řetězce pro kontejnery. Podniky můžou mít nedostatek odborných znalostí nebo prostředků pro vytváření všech součástí softwaru ze zdroje a potřebují spoléhat se na externí zdroje pro image kontejnerů. Příkladem takových imagí jsou image operačního systému nebo architektury, proxy služeb, jako jsou NGINX a Envoy, nebo protokolování a obrázky metrik, jako jsou Fluentd a Kafka. Před použitím je důležité stanovit určité kontroly kvality a zajistit, aby tyto obrázky splňovaly podnikové zásady.

Architektura CSSC (Containers Secure Supply Chain) od Microsoftu identifikuje potřebu získávání externích imagí. Architektura CSSC doporučuje sadu standardních postupů a nástrojů, které vám pomůžou bezpečně získat image externích kontejnerů pro interní použití. V tomto článku se dozvíte o cílech, standardních postupech a nástrojích, které můžete použít ve fázi Získání architektury CSSC.

Pozadí

V současné době podniky nemají zavedený proces pro získání externích imagí kontejnerů. Přístupy se značně liší v závislosti na velikosti a odborných znalostech podniku.

Podniky zaměřené na zabezpečení přinesou předem schválené image z externích zdrojů, jako je Docker Hub, do interního registru karantény . Tyto image se kontrolují z hlediska ohrožení zabezpečení a malwaru předtím, než se uvolní pro interní použití. Tento proces však není jednotný nebo zcela automatizovaný. Podniky také nemají metodu, jak zaručit pravost a integritu těchto obrázků v celém dodavatelském řetězci. A konečně nemají konzistentní způsob, jak rozšířit obrázky o další metadata pro následné fáze dodavatelského řetězce.

Podniky, které začínají svou cestou zabezpečení, používají image kontejnerů z externích registrů přímo ve svých skriptech sestavení a nasazení. Tento přístup může představovat ohrožení zabezpečení, malware a nekompatibilní software, který ohrožuje dostupnost sestavení imagí a kontejnerizovaných služeb.

Fáze Získání architektury CSSC doporučuje sadu kroků a kontrolních mechanismů zabezpečení, které by se měly implementovat, aby se zajistilo, že externí image budou ověřeny a kompatibilní se zásadami podniku před jejich interním použitím.

Microsoft doporučuje vytvářet software ze zdroje, kdykoli je to možné. V případě, že podniky to nedokážou udělat, doporučujeme následující postupy pro získání externích imagí kontejnerů a artefaktů nativních pro cloud.

  • Import externích imagí do interního registru, který je pod kontrolou podniku, odebere závislost na třetích stranách a sníží dopad na dostupnost. Obrázky byste měli importovat jenom z důvěryhodných zdrojů.
  • Pokud je k dispozici, ověřte podpisy externích imagí, abyste zajistili pravost vydavatele a integritu obrázků během procesu importu.
  • Před povolením interního použití zkontrolujte ohrožení zabezpečení imagí kontejnerů a malware, abyste snížili riziko zavedení chyb zabezpečení.
  • Rozšiřte image kontejnerů o další metadata, jako jsou SBOMs, provenience a životní cyklus, a povolte tak zásady v dalších fázích softwarového dodavatelského řetězce.
  • Podepište image kontejnerů a příslušná metadata pomocí podnikových klíčů, abyste zajistili integritu a poskytli důvěryhodné razítko schválení pro interní použití.

Pokyny pro architekturu CSSC od Microsoftu také odpovídají pokynům k zabezpečení materiálů v osvědčených postupech dodavatelského řetězce softwaru CNCF.

Pracovní postup pro získání externích imagí

Přestože podniky důvěřují dodavatelům nebo opensourcovým projektům, měli by vždy ověřit software, který získávají z externích zdrojů. Image kontejnerů a artefakty nativní pro cloud nejsou výjimkou. Architektura CSSC doporučuje pro získání externích imagí následující pracovní postup.

  1. Importujte image kontejnerů a artefakty nativní pro cloud do interního registru pod podnikovým řízením.
  2. Umístit image do interního registru do karantény, aby se zabránilo jejich internímu použití, dokud nebudou ověřeny.
  3. Ověřte všechny podpisy přidružené k imagi, abyste zajistili pravost a integritu image, pokud jsou podpisy přítomny v externím registru.
  4. Ověřte všechna další metadata přidružená k imagi, včetně SBOM a provenience, abyste zabránili porušení podnikových zásad, jako jsou nevyhovující licence, pokud jsou v externím registru k dispozici další metadata.
  5. V obrázcích vyhledejte známá ohrožení zabezpečení a malware, abyste zabránili zavedení chyb zabezpečení.
  6. Připojte sestavy ohrožení zabezpečení a malwaru jako image ověření, která se použijí v dalších fázích dodavatelského řetězce.
  7. Pokud není k dispozici, vygenerujte pro image SBOM a provenience a připojte je jako ověření image, která se použije v dalších fázích dodavatelského řetězce.
  8. Obohacujte obrázky o další metadata, jako jsou metadata životního cyklu, která se použijí v dalších fázích dodavatelského řetězce.
  9. Podepište image a příslušná metadata pomocí podnikových klíčů, abyste zajistili integritu a poskytli důvěryhodné razítko schválení pro interní použití.
  10. Pokud image splňuje interní zásady, publikujte image do zlatého registru pro interní použití.

Cíle zabezpečení ve fázi Získání

Díky dobře definovanému pracovnímu postupu pro získávání externích imagí můžou podniky zvýšit zabezpečení a snížit prostor pro útoky na dodavatelský řetězec kontejnerů. Fáze Získání architektury CSSC je určena k splnění následujících cílů zabezpečení.

Omezení prostoru pro útoky kvůli externím závislostem

Veřejné registry jsou náchylné k různým typům útoků z důvodu jejich otevřené povahy a nedostatku přísných bezpečnostních opatření. Když uživatelům v rámci podniku umožníte přímo načíst obrázky z externích registrů, zpřístupňuje je útokům, jako jsou nejasnosti závislostí a překlepování.

Fáze Získání v rozhraní CSSC toto riziko řeší tím, že centralizuje získávání a správu externích artefaktů a nabízí interním uživatelům jediný zdroj pravdy pro všechny image a artefakty nativní pro cloud.

Minimalizace rizika zavedení chyb zabezpečení

Nedostatek striktních ověřovacích a schvalovacích procesů pro obrázky ve veřejných registrech znamená, že kdokoli může nabízet obrázky bez důkladné kontroly. Tím se zvyšuje riziko neúmyslného používání ohrožených imagí, které můžou do podnikových aplikací zavádět ohrožení zabezpečení.

Fáze Získání řeší toto riziko přidáním požadovaného kroku pro kontrolu ohrožení zabezpečení a malwaru obrázků před jejich schválením pro interní použití. Další přidanou výhodou importu imagí do interního registru je teď možné tyto image pravidelně kontrolovat a opravovat.

Zvýšení dostupnosti sestavení a nasazení kontejnerů

Vzhledem k nutnosti distribuovat image kontejnerů v globálním měřítku jsou veřejné registry náchylné k omezování. Veřejné registry jsou také cílem útoků DDoS, které můžou mít vliv na distribuci obrázků. Kromě toho jsou veřejné registry hostované v infrastruktuře, která není pod kontrolou podniku a může to mít vliv na výpadky. To může způsobit zpoždění nebo selhání v podnikových buildech a nasazeních.

Importem imagí z externích registrů do interního registru řeší fáze získání tohoto rizika tím, že odebere závislost na externích registrech a umožní podnikům řídit rychlost, za kterou získávají image z interních registrů. Privátní registry můžou být také lépe chráněny před externími útoky a vyhovět požadavkům na dostupnost podniku.

Řízení životního cyklu externích obrázků

Vydavatelé softwaru můžou aktualizovat image v externích registrech bez předchozího upozornění. To může způsobit neočekávané změny v podnikových buildech a nasazeních. Image je také možné odebrat z externích registrů bez předchozího upozornění, což může způsobit selhání podnikových sestavení a nasazení.

Zavedením zprostředkujícího registru pro hostování externích imagí řeší fáze Získání toto riziko tím, že nabízí verze imagí potřebných pro interní použití v mezipaměti. To podnikům umožňuje řídit životní cyklus imagí a zajistit, aby byly vyřazeny podle podnikových zásad.

Zajištění minimální kvality obrázku

I když někteří vydavatelé externích imagí začínají zahrnovat ověření identity, jako jsou SBOMs a provenience, stejně jako podepisování imagí kontejnerů, mnoho imagí ve veřejných registrech takové ověření nemá. Důvodem je také to, že některé veřejné registry takové možnosti nepodporují. To podnikům znesnadňuje zajistit, aby image, které získaly, byly v souladu se svými zásadami.

Ve fázi Získání architektury CSSC mohou podniky rozšířit obrázky o další metadata, včetně SBOM, provenance, životního cyklu a dalších interních metadat, která splňují své zásady. Můžou také podepsat artefakty pomocí podnikových klíčů, aby zajistily integritu a poskytly důvěryhodné razítko schválení pro interní použití.

Microsoft nabízí sadu nástrojů a služeb, které můžou podnikům pomoct implementovat doporučené kroky v pracovním postupu Získání fáze a řešit výše uvedené cíle zabezpečení.

Nástroje a služby pro import externích imagí

Azure Container Registry (ACR) je spravovaný registr kompatibilní s OCI, který podporuje distribuci imagí kontejnerů a dalších artefaktů nativních pro cloud. ACR je kompatibilní s nejnovějšími specifikacemi OCI a dá se použít k ukládání artefaktů dodavatelského řetězce.

Funkci ACR Import je možné použít k importu imagí z externích registrů do ACR. Import zachovává hodnoty hash a značky image a umožňuje importovat image z libovolného veřejného a privátního registru, který podporuje rozhraní API registru Dockeru V2.

ORAS je projekt CNCF podporovaný Microsoftem, který nabízí opensourcové rozhraní příkazového řádku a knihovny pro interakci s registry OCI. ORAS lze také použít ke kopírování imagí a dalších artefaktů OCI z externích registrů do ACR.

Nástroje a služby pro ověřování externích imagí

ACR Tasks je sada funkcí ve službě Azure Container Registry, která podnikům umožňuje automatizovat různé úlohy, jako je kontrola ohrožení zabezpečení nebo ověřování SBOM nebo ověřování podpisu. Úlohy ACR je možné použít k ověření externích imagí po jejich importu do služby Azure Container Registry. Úlohy ACR je také možné použít k automatizaci importu imagí z externích registrů do služby Azure Container Registry.

Microsoft Defender for Cloud je řešení nativní pro cloud, které vylepšuje, monitoruje a udržuje zabezpečení kontejnerizovaných úloh. Microsoft Defender for Cloud nabízí nástroje pro posouzení ohrožení zabezpečení a správu imagí uložených ve službě Azure Container Registry.

Nástroje pro rozšiřování externích obrázků pomocí podnikových metadat

Jako všestranný nástroj pro interakci s registry OCI lze ORAS použít také k přidání poznámek a připojení metadat k imagi kontejneru. ORAS lze použít k přidání SBOMs, provenance, životního cyklu a dalších metadat k obohacení obrázků pro následné fáze dodavatelského řetězce.

Nástroj SBOM od Microsoftu je opensourcový, vysoce škálovatelný a podnikový nástroj pro vytváření SBOM kompatibilních s SPDX 2.2 pro všechny různé artefakty. Nástroj SBOM lze použít ke generování podrobných SBOM pro image kontejnerů.

Notář Project je projekt CNCF založený na Microsoftu, který vyvíjí specifikace a nástroje pro podepisování a ověřování artefaktů softwaru. Nástroj notáře Projectu notation se dá použít k podepisování imagí kontejnerů a dalších artefaktů nativních pro cloud pomocí podnikových klíčů.

Další kroky

Podívejte se na přehled fáze katalogu pro bezpečné hostování imagí kontejnerů pro interní použití.