Sdílet prostřednictvím

Přehled fáze katalogu

  • Článek

Vytvoření katalogu imagí kontejnerů pro interní použití je druhou fází dodavatelského řetězce pro kontejnery. Image kontejnerů, které projdou určitými kontrolami kvality z fáze Získání, se hostují v interním registru. Je důležité katalogovat image kontejnerů, aby interní týmy mohly snadno zjišťovat a využívat schválené image vyžadované podnikovými aplikacemi a službami. Kromě toho se image kontejnerů v katalogu pravidelně kontrolují z hlediska ohrožení zabezpečení a malwaru, aby se zajistilo, že splňují nejnovější požadavky na zabezpečení.

Architektura CSSC (Containers Secure Supply Chain) společnosti Microsoft identifikuje potřebu katalogových imagí kontejnerů a poskytuje sadu osvědčených postupů a nástrojů, které vám pomůžou bezpečně hostovat image kontejnerů v katalogu. V tomto článku se dozvíte o cílech, osvědčených postupech a nástrojích, které můžete použít pro fázi katalogu architektury CSSC.

Pozadí

Podniky v současné době používají různé přístupy ke správě imagí kontejnerů. Je výzvou, aby inženýři objevili dostupné image kontejnerů, pochopili stav zabezpečení a omezení na úrovni přístupu v rámci podniku. Některé podniky vytvářejí nad registrem vlastní portál, který technikům pomáhá zjišťovat dostupné image kontejnerů. Některé podniky navíc ukládají omezení brány firewall a zásady, které technikům brání v používání imagí kontejnerů přímo z externích registrů.

Fáze katalogu architektury CSSC doporučuje sadu kroků a kontrolních mechanismů zabezpečení, které by se měly implementovat, aby se zajistilo, že image kontejnerů jsou zjistitelné a monitorované nepřetržitě, aby se zajistilo zabezpečení.

Microsoft doporučuje, aby interní týmy používaly image kontejnerů z interního katalogu, kdykoli je to možné. V případě, že to podniky nedokážou udělat, doporučujeme následující postupy pro katalog imagí kontejnerů.

  • Katalog zlatých obrázků , které umožňují interním týmům snadno zjišťovat a využívat schválené obrázky vyžadované podnikovými aplikacemi a službami.
  • Nepřetržitě prohledávat image kontejnerů z hlediska ohrožení zabezpečení a malwaru, generovat sestavy a podepisovat sestavy, aby se zajistila pravost a integrita.
  • Monitorujte životní cyklus katalogových obrázků a vyřadte image, které nejsou podporované.

Pracovní postup pro katalog imagí kontejnerů

Architektura CSSC doporučuje následující pracovní postup pro katalog imagí kontejnerů, pomáhá zajistit zabezpečení imagí kontejnerů, interních registrů a pomoc s přijímáním imagí kontejnerů pro interní použití. Pracovní postup pro katalog imagí kontejnerů dělá toto:

  1. Hostuje image kontejneru, které projdou kontrolami kvality a relevantními metadaty v interním přípravném registru.
  2. Katalogové image kontejnerů, které umožňují interním týmům snadno zjišťovat a využívat schválené image vyžadované podnikovými aplikacemi a službami.
  3. Naplánujte kontroly ohrožení zabezpečení a malwaru v pravidelných intervalech a generujte sestavy ohrožení zabezpečení a malwaru.
  4. Podepíše sestavy pomocí podnikových klíčů, aby se zajistila integrita a poskytlo důvěryhodné razítko schválení pro interní použití.
  5. Monitorujte životní cyklus imagí kontejnerů v katalogu a vyřadte image, které nejsou podporované.

Cíle zabezpečení ve fázi katalogu

Díky dobře definovanému pracovnímu postupu pro katalog imagí kontejnerů můžou podniky zvýšit zabezpečení a snížit prostor pro útoky na dodavatelský řetězec kontejnerů. Fáze katalogu architektury CSSC je určená k splnění následujících cílů zabezpečení.

Omezení prostoru pro útoky kvůli externím závislostem

Pokud image kontejnerů nejsou dostupné nebo se obtížně hledají, můžou se interní týmy rozhodnout používat image kontejnerů přímo z externích registrů, které je zpřístupňují útokům, jako jsou škodlivé image kontejnerů.

Pro řešení tohoto rizika doporučuje fáze katalogu v rámci CSSC katalog zlaté obrázky , aby interní týmy mohly snadno zjišťovat a využívat schválené obrázky vyžadované podnikovými aplikacemi a službami. Průběžně také přidává obrázky z fáze Získání na základě interního týmového využití.

Minimalizace rizika zavedení chyb zabezpečení

Image kontejnerů v katalogu se můžou stát zastaralými nebo nepatchovanými, což zvyšuje riziko neúmyslného používání imagí, které můžou do podnikových aplikací zavést ohrožení zabezpečení a malware.

Pro řešení tohoto rizika doporučuje fáze katalogu v rámci CSSC průběžně kontrolovat image kontejnerů z hlediska ohrožení zabezpečení a malwaru a generovat sestavy ve standardních formátech. To umožňuje ověření sestav před použitím v dalších fázích dodavatelského řetězce softwaru.

Microsoft nabízí sadu nástrojů a služeb, které můžou podnikům pomoct implementovat doporučené kroky v pracovním postupu dílčí fáze katalogu a řešit výše uvedené cíle zabezpečení.

Služby pro hostování imagí kontejnerů

Azure Container Registry (ACR) je spravovaný registr kompatibilní s OCI, který podporuje distribuci imagí kontejnerů a dalších artefaktů nativních pro cloud. ACR je kompatibilní s nejnovějšími specifikacemi OCI a dá se použít k ukládání artefaktů dodavatelského řetězce.

Nástroje pro kontrolu ohrožení zabezpečení

Microsoft Defender for Cloud je řešení nativní pro cloud, které vylepšuje, monitoruje a udržuje zabezpečení kontejnerizovaných úloh. Microsoft Defender for Cloud nabízí nástroje pro posouzení ohrožení zabezpečení a správu imagí uložených ve službě Azure Container Registry.

Nástroje pro zajištění pravosti obrázků

Notář Project je projekt CNCF založený na Microsoftu, který vyvíjí specifikace a nástroje pro podepisování a ověřování artefaktů softwaru. Nástroj notáře Projectu notation se dá použít k podepisování imagí kontejnerů a dalších artefaktů nativních pro cloud pomocí podnikových klíčů.

Další kroky

Podívejte se na přehled fáze sestavení pro bezpečné sestavování imagí kontejnerů.