Compartir a través de

Información general de la fase De adquisición

  • Artículo

La adquisición de imágenes de contenedor externas que se van a usar como imágenes base o de utilidad es la primera fase de la cadena de suministro para contenedores. Las empresas pueden carecer de experiencia o recursos para crear cada fragmento de software a partir del origen y tener que confiar en orígenes externos para imágenes de contenedor. Algunos ejemplos de estas imágenes son imágenes de marco o sistema operativo, servidores proxy de servicio como NGINX y Envoy, o imágenes de registro y métricas como Fluentd y Kafka. Es importante establecer ciertas comprobaciones de calidad antes de usarlas y asegurarse de que estas imágenes cumplan las directivas empresariales.

El marco de la cadena de suministro segura (CSSC) de Contenedores de Microsoft identifica la necesidad de adquirir imágenes externas. El marco CSSC recomienda un conjunto de prácticas y herramientas estándar para ayudarle a adquirir de forma segura las imágenes de contenedor externas para su uso interno. En este artículo, obtendrá información sobre los objetivos, las prácticas estándar y las herramientas que puede usar en la fase Adquisición del marco CSSC.

Fondo

Actualmente, las empresas no tienen un proceso establecido para la adquisición de imágenes de contenedor externas. Los enfoques varían ampliamente en función del tamaño y la experiencia de la empresa.

Las empresas centradas en la seguridad incorporan imágenes aprobadas previamente de orígenes externos, como Docker Hub, en un registro de cuarentena interno. Estas imágenes se inspeccionan para detectar vulnerabilidades y malware antes de que se liberen para su uso interno. Sin embargo, este proceso no es uniforme o completamente automatizado. Las empresas también carecen de un método para garantizar la autenticidad e integridad de estas imágenes en toda la cadena de suministro. Por último, no tienen una manera coherente de enriquecer las imágenes con metadatos adicionales para las fases posteriores de la cadena de suministro.

Las empresas que inician su recorrido de seguridad usan imágenes de contenedor de registros externos directamente en sus scripts de compilación e implementación. Este enfoque puede introducir vulnerabilidades, malware y software no conforme que pone en peligro la disponibilidad de compilaciones de imágenes y servicios en contenedores.

La fase Adquisición del marco CSSC recomienda un conjunto de pasos y controles de seguridad que se deben implementar para asegurarse de que las imágenes externas se validan y cumplen con las directivas empresariales antes de que se usen internamente.

Microsoft recomienda compilar software desde el origen siempre que sea posible. En caso de que las empresas no puedan hacerlo, se recomiendan los procedimientos siguientes para la adquisición de imágenes de contenedor externas y artefactos nativos en la nube.

  • Importe imágenes externas en un registro interno que esté bajo el control de la empresa para quitar la dependencia de terceros y reducir el impacto en la disponibilidad. Solo debe importar imágenes de fuentes de reputación.
  • Cuando esté disponible, compruebe las firmas de las imágenes externas para garantizar la autenticidad y la integridad de la imagen del publicador durante el proceso de importación.
  • Antes de permitir el uso interno, examine las imágenes de contenedor para detectar vulnerabilidades y malware para reducir el riesgo de introducir errores de seguridad.
  • Enriquecer imágenes de contenedor con metadatos adicionales, como SBOMs, provenancia y ciclo de vida para habilitar directivas en las fases posteriores de la cadena de suministro de software.
  • Firme imágenes de contenedor y metadatos pertinentes con claves empresariales para garantizar la integridad y proporcionar una marca de confianza para su uso interno.

La guía del marco CSSC de Microsoft también coincide con las instrucciones para proteger los materiales en los procedimientos recomendados de la cadena de suministro de software CNCF.

Flujo de trabajo para la adquisición de imágenes externas

A pesar de las empresas de confianza puestas en proveedores o proyectos de código abierto, siempre deben validar el software que adquieren de orígenes externos. Las imágenes de contenedor y los artefactos nativos de la nube no son ninguna excepción. El marco CSSC recomienda el siguiente flujo de trabajo para la adquisición de imágenes externas.

  1. Importe imágenes de contenedor y artefactos nativos de la nube en un registro interno bajo control empresarial.
  2. Ponga en cuarentena las imágenes del registro interno para evitar que se usen internamente hasta que se validen.
  3. Valide las firmas asociadas a la imagen para garantizar la autenticidad e integridad de la imagen, si las firmas están presentes en el registro externo.
  4. Valide cualquier otro metadato asociado a la imagen, incluidos SBOMs y la procedencia, para evitar la infracción de directivas empresariales, como licencias no compatibles, si hay metadatos adicionales presentes en el registro externo.
  5. Examine las imágenes para detectar vulnerabilidades conocidas y malware para evitar la introducción de errores de seguridad.
  6. Adjunte los informes de vulnerabilidades y malware como atestaciones de imagen que se usarán en las fases posteriores de la cadena de suministro.
  7. Si no está disponible, genere SBOM y provenga para la imagen y adjunte como atestaciones de imagen para usarlas en las fases posteriores de la cadena de suministro.
  8. Enriquecer las imágenes con metadatos adicionales, como los metadatos del ciclo de vida que se van a usar en las fases posteriores de la cadena de suministro.
  9. Firme la imagen y los metadatos pertinentes con claves de empresa para garantizar la integridad y proporcionar una marca de confianza para su uso interno.
  10. Si la imagen cumple las directivas internas, publique la imagen en el registro dorado para su uso interno.

Objetivos de seguridad en la fase De adquisición

Tener un flujo de trabajo bien definido para la adquisición de imágenes externas ayuda a las empresas a aumentar su seguridad y reducir la superficie expuesta a ataques en su cadena de suministro para contenedores. La fase Adquisición del marco CSSC está pensada para satisfacer los siguientes objetivos de seguridad.

Reducir la superficie expuesta a ataques debido a dependencias externas

Los registros públicos son susceptibles a diversos tipos de ataques debido a su naturaleza abierta y a la falta de estrictas medidas de seguridad. Permitir a los usuarios de la empresa extraer directamente imágenes de registros externos las expone a ataques como confusión de dependencias y errores tipográficos.

La fase De adquisición en el marco CSSC aborda este riesgo centralizando la adquisición y administración de artefactos externos y ofreciendo a los usuarios internos una única fuente de verdad para todas las imágenes y artefactos nativos de la nube.

Minimizar el riesgo de introducir errores de seguridad

La falta de estrictos procesos de verificación y aprobación de imágenes en los registros públicos significa que cualquier persona puede insertar imágenes sin un examen riguroso. Esto aumenta el riesgo de usar imágenes en peligro involuntariamente que pueden introducir vulnerabilidades de seguridad en aplicaciones empresariales.

La fase Adquirir aborda este riesgo agregando un paso necesario para el examen de vulnerabilidades y malware de las imágenes antes de que se aprueben para su uso interno. Otra ventaja adicional de importar las imágenes a un registro interno, estas imágenes ahora se pueden examinar y aplicar revisiones periódicamente.

Aumento de la disponibilidad de compilaciones e implementaciones de contenedores

Debido a la necesidad de distribuir imágenes de contenedor a escala global, los registros públicos son susceptibles a la limitación. Los registros públicos también son destinos de ataques DDoS que pueden afectar a la distribución de imágenes. Por último, los registros públicos se hospedan en la infraestructura que no está bajo control empresarial y pueden verse afectados por interrupciones. Todo esto puede provocar retrasos o errores en compilaciones e implementaciones empresariales.

Al importar imágenes de registros externos en un registro interno, la fase Acquire aborda este riesgo quitando la dependencia de los registros externos y permitiendo a las empresas controlar la velocidad a la que extraen imágenes de registros internos. Los registros privados también se pueden proteger mejor frente a ataques externos y cumplir con los requisitos de disponibilidad empresarial.

Controlar el ciclo de vida de las imágenes externas

Los editores de software pueden actualizar imágenes en registros externos sin previo aviso. Esto puede provocar cambios inesperados en las compilaciones e implementaciones empresariales. Además, las imágenes se pueden quitar de registros externos sin previo aviso, lo que puede provocar un error en las compilaciones e implementaciones empresariales.

Al introducir un registro intermedio para hospedar las imágenes externas, la fase Acquire aborda este riesgo al ofrecer versiones almacenadas en caché de las imágenes necesarias para su uso interno. Esto permite a las empresas controlar el ciclo de vida de las imágenes y asegurarse de que se retiran según las directivas empresariales.

Garantizar una calidad de imagen mínima

Aunque algunos publicadores de imágenes externas comienzan a incluir atestaciones como SBOM y su procedencia, así como firmar imágenes de contenedor, muchas imágenes de los registros públicos no tienen estas atestaciones. Esto también se debe a que determinados registros públicos no admiten estas funcionalidades. Esto dificulta a las empresas asegurarse de que las imágenes que adquieren son compatibles con sus directivas.

En la fase Adquisición del marco CSSC, las empresas pueden enriquecer las imágenes con metadatos adicionales, como SBOM, provenancia, ciclo de vida y otros metadatos internos que cumplen sus directivas. También pueden firmar los artefactos con claves de empresa para garantizar la integridad y proporcionar una marca de confianza de aprobación para uso interno.

Microsoft ofrece un conjunto de herramientas y servicios que pueden ayudar a las empresas a implementar los pasos recomendados en el flujo de trabajo de la fase Adquisición y abordar los objetivos de seguridad enumerados anteriormente.

Herramientas y servicios para importar imágenes externas

Azure Container Registry (ACR) es un registro administrado compatible con OCI que admite la distribución de imágenes de contenedor y otros artefactos nativos de la nube. ACR es compatible con las especificaciones de OCI más recientes y se puede usar para almacenar artefactos de la cadena de suministro.

La funcionalidad de importación de ACR se puede usar para importar imágenes de registros externos a ACR. La importación conserva el resumen y las etiquetas de la imagen y permite importar imágenes desde cualquier registro público y privado que admita la API de Docker Registry V2.

ORAS es un proyecto CNCF respaldado por Microsoft que ofrece una CLI de código abierto y bibliotecas para interactuar con los registros de OCI. ORAS también se puede usar para copiar imágenes y otros artefactos de OCI de registros externos en ACR.

Herramientas y servicios para validar imágenes externas

ACR Tasks es un conjunto de características de Azure Container Registry que permite a las empresas automatizar diferentes tareas, como el examen de vulnerabilidades o sbOM o la validación de firmas. ACR Tasks se puede usar para validar imágenes externas una vez que se importan en Azure Container Registry. ACR Tasks también se puede usar para automatizar la importación de imágenes de registros externos en Azure Container Registry.

Microsoft Defender for Cloud es la solución nativa de la nube para mejorar, supervisar y mantener la seguridad de las cargas de trabajo en contenedores. Microsoft Defender for Cloud ofrece herramientas de evaluación y administración de vulnerabilidades para imágenes almacenadas en Azure Container Registry.

Herramientas para enriquecer imágenes externas con metadatos empresariales

Como herramienta versátil para interactuar con los registros de OCI, también se puede usar ORAS para agregar anotaciones y adjuntar metadatos a una imagen de contenedor. ORAS se puede usar para agregar SBOM, provenancia, ciclo de vida y otros metadatos para enriquecer las imágenes para las fases posteriores de la cadena de suministro.

La herramienta SBOM de Microsoft es una herramienta de código abierto, altamente escalable y lista para la empresa para crear SBOM compatibles con SPDX 2.2 para cualquier variedad de artefactos. La herramienta SBOM se puede usar para generar SBOM detallados para imágenes de contenedor.

Notary Project es un proyecto CNCF respaldado por Microsoft que desarrolla especificaciones y herramientas para firmar y comprobar artefactos de software. La herramienta Notary Project notation se puede usar para firmar imágenes de contenedor y otros artefactos nativos de la nube con claves de empresa.

Pasos siguientes

Consulte información general sobre la fase catálogo para hospedar imágenes de contenedor de forma segura para su uso interno.