Compartir a través de

Información general sobre la fase catálogo

  • Artículo

La creación de un catálogo de imágenes de contenedor para uso interno es la segunda fase de la cadena de suministro para contenedores. Las imágenes de contenedor que pasan determinadas comprobaciones de calidad de la fase Acquire se hospedan en un registro interno. Es esencial catalogar imágenes de contenedor para que los equipos internos puedan detectar y consumir fácilmente imágenes aprobadas requeridas por aplicaciones y servicios empresariales. Además, las imágenes de contenedor de un catálogo se examinan continuamente para detectar vulnerabilidades y malware de forma periódica para asegurarse de que cumplen los requisitos de seguridad más recientes.

El marco de la cadena de suministro segura (CSSC) de contenedores de Microsoft identifica la necesidad de catalogar imágenes de contenedor y proporciona un conjunto de procedimientos recomendados y herramientas para ayudarle a hospedar de forma segura imágenes de contenedor en un catálogo. En este artículo, obtendrá información sobre los objetivos, los procedimientos recomendados y las herramientas que puede usar para la fase catálogo del marco CSSC.

Fondo

Actualmente, las empresas usan varios enfoques para administrar imágenes de contenedor. Es un desafío para los ingenieros detectar imágenes de contenedor disponibles, comprender la posición de seguridad y las restricciones de nivel de acceso dentro de la empresa. Algunas empresas crean su propio portal sobre el registro para ayudar a los ingenieros a detectar imágenes de contenedor disponibles. Además, algunas empresas imponen restricciones y directivas de firewall para restringir a los ingenieros el uso de imágenes de contenedor directamente desde registros externos.

La fase Catálogo del marco CSSC recomienda un conjunto de pasos y controles de seguridad que se deben implementar para asegurarse de que las imágenes de contenedor son detectables y supervisadas continuamente para garantizar la seguridad.

Microsoft recomienda que los equipos internos usen imágenes de contenedor de un catálogo interno siempre que sea posible. En caso de que las empresas no puedan hacerlo, se recomiendan los procedimientos siguientes para el catálogo de imágenes de contenedor.

  • Cataloga imágenes doradas para permitir que los equipos internos detecten y consuman fácilmente imágenes aprobadas requeridas por aplicaciones y servicios empresariales.
  • Examine continuamente imágenes de contenedor para detectar vulnerabilidades y malware, generar informes y firmar informes para garantizar la autenticidad y la integridad.
  • Supervise el ciclo de vida de las imágenes de catálogo y retire las imágenes que no son compatibles.

Flujo de trabajo para el catálogo de imágenes de contenedor

El marco CSSC recomienda el siguiente flujo de trabajo para catalogar imágenes de contenedor, ayudar a garantizar la seguridad de las imágenes de contenedor, los registros internos y ayudar a aceptar imágenes de contenedor para su uso interno. El flujo de trabajo para el catálogo de imágenes de contenedor hace lo siguiente:

  1. Hospeda las imágenes de contenedor que pasan comprobaciones de calidad y metadatos pertinentes en un registro de almacenamiento provisional interno.
  2. Imágenes de contenedor de catálogos para permitir que los equipos internos detecten y consuman fácilmente imágenes aprobadas requeridas por aplicaciones y servicios empresariales.
  3. Programe exámenes de vulnerabilidades y malware en una cadencia regular y genere informes de vulnerabilidades y malware.
  4. Firma los informes con claves de empresa para garantizar la integridad y proporcionar una marca de confianza de aprobación para uso interno.
  5. Supervise el ciclo de vida de las imágenes de contenedor en el catálogo y retire las imágenes que no son compatibles.

Objetivos de seguridad en la fase catálogo

Tener un flujo de trabajo bien definido para el catálogo de imágenes de contenedor ayuda a las empresas a aumentar su seguridad y reducir la superficie expuesta a ataques en su cadena de suministro para contenedores. La fase catálogo del marco CSSC está pensada para satisfacer los siguientes objetivos de seguridad.

Reducir la superficie expuesta a ataques debido a dependencias externas

Si las imágenes de contenedor no están disponibles o son difíciles de encontrar, los equipos internos pueden optar por usar imágenes de contenedor directamente desde registros externos, lo que los expone a ataques como imágenes de contenedor malintencionadas.

Para abordar este riesgo, la fase catálogo del marco CSSC recomienda imágenes doradas de catálogo para permitir que los equipos internos detecten y consuman fácilmente imágenes aprobadas requeridas por aplicaciones y servicios empresariales. También agrega continuamente imágenes de la fase Adquisición en función del uso interno del equipo.

Minimizar el riesgo de introducir errores de seguridad

Las imágenes de contenedor de un catálogo se pueden volver obsoletas o no actualizadas, lo que aumenta el riesgo de usar imágenes involuntariamente que pueden introducir vulnerabilidades de seguridad y malware en aplicaciones empresariales.

Para abordar este riesgo, la fase catálogo en el marco cssc recomienda examinar continuamente las imágenes de contenedor para detectar vulnerabilidades y malware, y generar informes en formatos estándar. Esto permite la validación de informes antes de su uso en las fases posteriores de la cadena de suministro de software.

Microsoft ofrece un conjunto de herramientas y servicios que pueden ayudar a las empresas a implementar los pasos recomendados en el flujo de trabajo de la fase catálogo y abordar los objetivos de seguridad enumerados anteriormente.

Servicios para hospedar imágenes de contenedor

Azure Container Registry (ACR) es un registro administrado compatible con OCI que admite la distribución de imágenes de contenedor y otros artefactos nativos de la nube. ACR es compatible con las especificaciones de OCI más recientes y se puede usar para almacenar artefactos de la cadena de suministro.

Herramientas para el examen de vulnerabilidades

Microsoft Defender for Cloud es la solución nativa de la nube para mejorar, supervisar y mantener la seguridad de las cargas de trabajo en contenedores. Microsoft Defender for Cloud ofrece herramientas de evaluación y administración de vulnerabilidades para imágenes almacenadas en Azure Container Registry.

Herramientas para garantizar la autenticidad de las imágenes

Notary Project es un proyecto CNCF respaldado por Microsoft que desarrolla especificaciones y herramientas para firmar y comprobar artefactos de software. La herramienta Notary Project notation se puede usar para firmar imágenes de contenedor y otros artefactos nativos de la nube con claves de empresa.

Pasos siguientes

Consulte información general sobre la fase de compilación para compilar imágenes de contenedor de forma segura.