Freigeben über

Übersicht über die Katalogphase

  • Artikel

Das Erstellen eines Katalogs von Containerimages für die interne Verwendung ist die zweite Phase der Lieferkette für Container. Containerimages, die bestimmte Qualitätsprüfungen aus der Phase "Erwerben" bestehen, werden in einer internen Registrierung gehostet. Es ist wichtig, Containerimages zu katalogisieren, damit interne Teams genehmigte Images, die von Unternehmensanwendungen und -diensten benötigt werden, problemlos erkennen und nutzen können. Darüber hinaus werden Containerimages in einem Katalog regelmäßig auf Sicherheitsrisiken und Schadsoftware überprüft, um sicherzustellen, dass sie die neuesten Sicherheitsanforderungen erfüllen.

Das CSSC-Framework (Containers Secure Supply Chain) von Microsoft identifiziert die Notwendigkeit, Containerimages zu katalogisieren und bietet eine Reihe bewährter Methoden und Tools, mit denen Sie Containerimages in einem Katalog sicher hosten können. In diesem Artikel erfahren Sie mehr über die Ziele, bewährten Methoden und Tools, die Sie für die Katalogphase des CSSC-Frameworks verwenden können.

Hintergrund

Derzeit verwenden Unternehmen verschiedene Ansätze zum Verwalten von Containerimages. Es ist eine Herausforderung für Techniker, verfügbare Containerimages zu ermitteln, die Sicherheitsstatus- und Zugriffsebeneneinschränkungen innerhalb des Unternehmens zu verstehen. Einige Unternehmen erstellen ihr eigenes Portal über der Registrierung, damit Techniker verfügbare Containerimages entdecken können. Darüber hinaus erzwingen einige Unternehmen Firewallbeschränkungen und Richtlinien, um Die Verwendung von Containerimages direkt aus externen Registrierungen zu beschränken.

Die Katalogphase des CSSC-Frameworks empfiehlt eine Reihe von Schritten und Sicherheitskontrollen, die implementiert werden sollten, um sicherzustellen, dass Containerimages erkannt und kontinuierlich überwacht werden können, um die Sicherheit sicherzustellen.

Microsoft empfiehlt, containerimages von internen Teams nach Möglichkeit aus einem internen Katalog zu verwenden. Falls Unternehmen dies nicht tun können, empfehlen wir die folgenden Methoden für den Katalog von Containerimages.

  • Katalogisieren Sie goldene Bilder , um internen Teams das einfache Auffinden und Nutzen genehmigter Bilder zu ermöglichen, die von Unternehmensanwendungen und -diensten benötigt werden.
  • Scannen Sie Containerimages kontinuierlich auf Sicherheitsrisiken und Schadsoftware, generieren Sie Berichte und signieren Sie Berichte, um Authentizität und Integrität sicherzustellen.
  • Überwachen Des Lebenszyklus von Katalogbildern und eingestellten Bildern, die nicht unterstützt werden.

Workflow für den Katalog von Containerimages

Das CSSC-Framework empfiehlt den folgenden Workflow, um Containerimages zu katalogisieren, die Sicherheit für Containerimages, interne Registrierungen und containerimages für die interne Verwendung zu gewährleisten. Der Workflow für den Katalog von Containerimages führt folgende Aktionen aus:

  1. Hosten Sie die Containerimages, die Qualitätsprüfungen und relevante Metadaten in einer internen Stagingregistrierung bestehen.
  2. Katalogcontainerimages, mit denen interne Teams genehmigte Bilder, die von Unternehmensanwendungen und -diensten benötigt werden, problemlos ermitteln und nutzen können.
  3. Planen Sie Sicherheitsrisiken und Schadsoftwareüberprüfungen in regelmäßigen Abständen und generieren Sie Sicherheitsrisiken und Schadsoftwareberichte.
  4. Signiert die Berichte mit Unternehmensschlüsseln, um Integrität sicherzustellen und einen vertrauenswürdigen Stempel der Genehmigung für die interne Verwendung bereitzustellen.
  5. Überwachen Sie den Lebenszyklus von Containerimages im Katalog, und deaktivieren Sie die Images, die nicht unterstützt werden.

Sicherheitsziele in der Katalogphase

Ein gut definierter Workflow für den Katalog von Containerimages hilft Unternehmen dabei, ihre Sicherheit zu erhöhen und die Angriffsfläche für ihre Lieferkette für Container zu reduzieren. Die Katalogphase des CSSC-Frameworks soll die folgenden Sicherheitsziele erfüllen.

Reduzieren der Angriffsfläche aufgrund externer Abhängigkeiten

Wenn Containerimages nicht verfügbar oder schwer zu finden sind, können interne Teams containerimages direkt aus externen Registrierungen verwenden, die sie Angriffen wie böswilligen Containerimages verfügbar machen.

Um dieses Risiko zu beheben, empfiehlt die Katalogphase im CSSC-Framework katalogfarbene Bilder , um internen Teams das einfache Auffinden und Nutzen genehmigter Bilder zu ermöglichen, die von Unternehmensanwendungen und -diensten benötigt werden. Außerdem werden kontinuierlich Bilder aus der Phase "Abrufen" basierend auf der internen Teamnutzung hinzugefügt.

Minimieren des Risikos der Einführung von Sicherheitsfehlern

Containerimages in einem Katalog können veraltet oder unpatchet werden, was das Risiko erhöht, versehentlich Bilder zu verwenden, die Sicherheitsrisiken und Schadsoftware in Unternehmensanwendungen einführen können.

Um dieses Risiko zu beheben, empfiehlt die Katalogphase im CSSC-Framework das kontinuierliche Scannen von Containerimages auf Sicherheitsrisiken und Schadsoftware sowie das Generieren von Berichten in Standardformaten. Dies ermöglicht die Validierung von Berichten vor der Verwendung in nachfolgenden Phasen der Software-Lieferkette.

Microsoft bietet eine Reihe von Tools und Diensten, die Unternehmen dabei helfen können, die empfohlenen Schritte im Workflow für die Katalogphase zu implementieren und die oben aufgeführten Sicherheitsziele zu erfüllen.

Dienste für das Hosten von Containerimages

Azure Container Registry (ACR) ist eine verwaltete, OCI-kompatible Registrierung, die die Verteilung von Containerimages und anderen cloudeigenen Artefakten unterstützt. ACR ist mit den neuesten OCI-Spezifikationen kompatibel und kann verwendet werden, um Lieferkettenartefakte zu speichern.

Tools für die Überprüfung von Sicherheitsrisiken

Microsoft Defender für Cloud ist die cloudeigene Lösung, um die Sicherheit Ihrer containerisierten Workloads zu verbessern, zu überwachen und zu Standard zu gewährleisten. Microsoft Defender für Cloud bietet Tools zur Sicherheitsrisikobewertung und -verwaltung für Bilder, die in der Azure-Containerregistrierung gespeichert sind.

Tools für die Sicherstellung der Authentizität von Bildern

Notar Project ist ein von Microsoft gesichertes CNCF-Projekt, das Spezifikationen und Tools zum Signieren und Überprüfen von Softwareartefakten entwickelt. Das Tool des Notarprojekts notation kann zum Signieren von Containerimages und anderen cloudeigenen Artefakten mit Enterprise-Schlüsseln verwendet werden.

Nächste Schritte

Siehe Übersicht über die Buildphase zum sicheren Erstellen von Containerimages.