Sdílet prostřednictvím

Přehled fáze nasazení

  • Článek

Fáze Nasazení je čtvrtá fáze architektury CSSC (Containers Secure Supply Chain). Podniky můžou do hostitelského prostředí nasazovat image kontejnerů a spouštět kontejnerizované úlohy bez ověření zabezpečení a dodržování předpisů těchto imagí kontejnerů. To zvyšuje potenciální bezpečnostní rizika nebo může vést k tomu, že v hostitelském prostředí běží ohrožený nebo škodlivý kód. Metadata imagí kontejneru a ověření identity vytvořená v předchozích fázích by se měla ověřit v době nasazení. Tím se zajistí, že nasazení bude v souladu se zásadami zabezpečení a dodržování předpisů pro celou organizaci.

Architektura CSSC (Containers Secure Supply Chain) společnosti Microsoft identifikuje potřebu nasazení imagí vyhovujícím způsobem. Architektura CSSC doporučuje sadu standardních postupů a nástrojů, které vám pomůžou bezpečně nasadit image ověřením metadat imagí a implementací zásad dodržování předpisů. V tomto článku se dozvíte o cílech, standardních postupech a nástrojích, které můžete použít ve fázi nasazení architektury CSSC.

Pozadí

Podniky mohou nasazovat image kontejnerů přímo z externích nebo interních registrů, aniž by ověřily, že image kontejnerů nejsou ohroženy a jsou schválené pro použití. Nasazení nedůvěryhodných a nevyhovujících imagí kontejnerů do hostitelského prostředí zvyšuje potenciální bezpečnostní rizika nebo spouštění malwaru nebo zranitelného kódu v hostitelském prostředí.

Postupy architektury CSSC pomáhají zajistit, aby image kontejnerů připravené pro nasazení byly z důvěryhodných registrů, bez ohrožení zabezpečení a malwaru a zajistily pravost a integritu. Mnoho podniků implementuje zásady pro ověření SBOM a podpisů imagí kontejneru před jejich nasazením do Kubernetes a nepřetržitou kontrolou imagí kontejnerů za účelem ověření kontrolovaných sestav.

Ve fázi Nasazení se zaměříme na zabezpečení image kontejneru a prostředí nasazení. Nasazení používají podpis image kontejneru, metadata životního cyklu, sestavy ohrožení zabezpečení a malwaru, data SBOM a provenience vygenerovaná z fáze sestavení pro účely ověření, aby se zajistilo, že image kontejnerů jsou důvěryhodné a vyhovující, než je nasadíte do hostitelského prostředí.

Pracovní postup pro nasazení imagí kontejnerů

Fáze nasazení má pracovní postup pro nasazení image kontejneru napříč stovkami nebo tisíci clusterů po celém světě. Nasazení se můžou provádět dynamicky a na vyžádání. Jakmile se image kontejnerů sestaví, ověří a podepíšou, architektura CSSC podporuje image kontejnerů a relevantní artefakty jsou k dispozici pro distribuci napříč registry pro fázi nasazení.

  1. Implementujte zásady integrity image, abyste před nasazením ověřili podpisy imagí, aby se zajistilo, že nedošlo k manipulaci s důvěryhodnými vydavateli a pochází z důvěryhodných vydavatelů.
  2. Implementujte zásadu kontroly ohrožení zabezpečení pro kontrolu imagí kontejnerů a nastavujte prahové hodnoty na základě úrovní závažnosti (CRITICAL, HIGH, MEDIUM, LOW) a nasazujte pouze kompatibilní image.
  3. Implementujte zásady dodržování předpisů licencí, které vynucují omezení nasazení imagí kontejnerů s nežádoucími licencemi.
  4. Implementujte zásady provenience, abyste před nasazením ověřili, že image kontejnerů pocházejí z důvěryhodných zdrojů a úložišť.
  5. Implementujte zásady životního cyklu image, abyste zajistili, že nasazené image jsou v rámci podpory a jsou platné a omezují nasazení imagí na konci životnosti a ukončení podpory.
  6. Generování a podepisování sestav ohrožení zabezpečení a malwaru pro každou image, aby se zabránilo manipulaci a zabezpečení jejich integrity.
  7. Připojte podepsané sestavy k imagím kontejneru pro zajištění viditelnosti a ověření dodržování předpisů během nasazování.
  8. Ověřte metadata imagí kontejneru, včetně SBOMs, podpisů obrázků, sestav ohrožení zabezpečení, metadat životního cyklu a dat provenience.
  9. Implementujte mechanismy řízení přístupu, které vynucují zásady nasazení a omezují nasazení nekompatibilních imagí kontejnerů.
  10. Automatizujte procesy nasazení pomocí kanálů CI/CD a integrujte kontroly ověřování a ověřování imagí.
  11. Průběžně monitorujte nasazené image a vynucujte dodržování předpisů pro detekci nových ohrožení zabezpečení, odchylek dodržování předpisů a podle potřeby proveďte nápravné akce.
  12. Protokolování aktivit nasazení a provádění pravidelných auditů za účelem zajištění dodržování standardů zabezpečení a dodržování předpisů
  13. Implementujte automatizované nebo ruční postupy nápravy, které řeší incidenty zabezpečení nebo odchylky dodržování předpisů.
  14. Zdokumentujte proces nasazení, včetně provedených kroků, použitých nástrojů a všech implementovaných bezpečnostních opatření pro budoucí referenční účely a auditování.

Microsoft doporučuje ověřovat metadata imagí v době nasazení a nasazovat pouze image kontejnerů z důvěryhodných registrů. Pro zabezpečení nativních cloudových úloh se doporučují následující postupy.

  • Vynucujte zásady nasazení, které ověřují metadata a omezují nekompatibilní image kontejnerů. Zabráníte tak nasazení neschválené image.
  • Před nasazením imagí vynucujte zásady nasazení, které ověřují podpisy imagí. Tím se zajistí, že image použité k nasazení pocházejí od důvěryhodného vydavatele a nebudou s ní manipulovány.
  • Vynucujte zásady nasazení na základě skóre ohrožení zabezpečení. To brání nasazení imagí s ohroženími zabezpečení nad určitou prahovou hodnotou (CRITICAL, HIGH, MEDIUM, LOW).
  • Vynucujte zásady nasazení, které ověřují informace o životním cyklu, aby se zajistilo, že image ukončení podpory nebudou použity v nasazení.
  • Ujistěte se, že prostředí nasazení a platforma mají zabezpečené síťové připojení.
  • Vyžadovat přísné ověřování, řízení přístupu a oprávnění k souborům k odepření neoprávněného přístupu k platformě nasazení. Tím se zabrání potenciálním únikům přihlašovacích údajů nebo neoprávněným změnám.
  • Automatizujte proces ověřování v kanálu CI/CD.

Cíle zabezpečení ve fázi nasazení

Díky dobře definovanému pracovnímu postupu pro nasazení imagí můžou podniky zvýšit zabezpečení a snížit prostor pro útoky na dodavatelský řetězec kontejnerů. Fáze nasazení architektury CSSC je určená k splnění následujících cílů zabezpečení.

Nasazení imagí z důvěryhodných a kompatibilních zdrojů

Zásady zabezpečení by se měly implementovat během fáze nasazení, aby se ověřilo, že image kontejnerů pocházejí z důvěryhodných zdrojů a že s nimi nejsou manipulovány. Integritu a pravost lze ověřit ověřením podpisů imagí kontejneru před nasazením.

Implementace zásad zabezpečení řízení přístupu

Zásady zabezpečení by se měly implementovat během fáze nasazení, aby se ověřilo, že image kontejnerů jsou kompatibilní. Toho dosáhnete ověřením imagí kontejneru s následujícími metadaty zabezpečení: ohrožení zabezpečení a sestavy malwaru, podpis obrázků, SBOMs, metadata životního cyklu imagí a metadata provenience.

Nástroje a služby pro ověřování metadat obrázků a vynucení zásad ověřování

Před nasazením je opensourcový projekt, který umožňuje clusterům Kubernetes ověřovat metadata zabezpečení před nasazením a přijímat jenom image, které vyhovují zásadám přístupu. Doporučujeme nakonfigurovat architekturu a gatekeeper tak, aby se na clusterech Kubernetes spouštěly jenom důvěryhodné a vyhovující image kontejnerů.

Gatekeeper je opensourcový projekt a PROJEKT CNCF, který poskytuje dynamický kontroler přístupu a modul zásad pro definování, vynucování a auditování zásad v clusterech Kubernetes standardizovaným způsobem.

Azure Policy rozšiřuje Gatekeeper, aby umožňoval použití předdefinovaných zásad v clusterech Azure Kubernetes Service k auditování nebo blokování nasazení odkazujících na image kontejnerů z externích registrů nebo nedůvěryhodných zdrojů.

Nástroje pro připojení metadat obrázků

ORAS je projekt CNCF, který poskytuje způsob ukládání a správy artefaktů v registrech kompatibilních s OCI. ORAS umožňuje ukládat a spravovat jakýkoli typ artefaktu, včetně imagí kontejnerů, metadat imagí a dalších, v registru kompatibilním s OCI. Poskytuje také sadu nástrojů příkazového řádku, které usnadňují interakci s registry kompatibilními s OCI. K nasdílení vygenerovaných sestav ohrožení zabezpečení a malwaru, SBOM, metadat životního cyklu obrázků a metadat provenience společně s přidruženou imagí do registru doporučujeme použít ORAS.

Nástroje pro podepisování a ověřování imagí kontejnerů a metadat

Notární projekt je opensourcový projekt, který obsahuje sadu specifikací a nástrojů určených k poskytování standardů pro zabezpečení dodavatelských řetězců softwaru prostřednictvím podepisování a ověřování, přenositelnosti podpisů a správy klíčů a certifikátů. Notace je nástroj dodavatelského řetězce vyvinutý komunitou notářského projektu, který podporuje podepisování a ověřování artefaktů v registrech kompatibilních s open container initiative (OCI), které umožňují přenositelnost a interoperabilitu podpisů. Poskytuje také integraci s řešeními pro správu klíčů třetích stran prostřednictvím modelu modulu plug-in, který umožňuje rozšiřitelnost. K podepisování imagí a metadat kontejnerů doporučujeme používat nástroje notářského projektu, abyste zajistili pravost a nefalšování.

Další kroky

Podívejte se na přehled fáze spuštění pro bezpečné nasazení imagí kontejneru.