Compartir a través de

Información general de la fase de implementación

  • Artículo

La fase De implementación es la cuarta fase del marco de la cadena de suministro segura (CSSC) de contenedores. Las empresas pueden implementar imágenes de contenedor en su entorno de hospedaje para ejecutar cargas de trabajo en contenedor sin validar la seguridad y el cumplimiento de esas imágenes de contenedor. Esto aumenta los posibles riesgos de seguridad o puede dar lugar a la ejecución de código vulnerable o malintencionado en el entorno de hospedaje. Los metadatos y atestaciones de la imagen de contenedor generados en las fases anteriores deben validarse en el momento de la implementación. Esto garantiza que la implementación cumpla con las directivas de seguridad y cumplimiento de toda la empresa.

El marco de la cadena de suministro segura (CSSC) de contenedores de Microsoft identifica la necesidad de implementar imágenes de forma compatible. El marco CSSC recomienda un conjunto de prácticas y herramientas estándar para ayudarle a implementar imágenes de forma segura validando los metadatos de la imagen e implementando la directiva de cumplimiento. En este artículo, obtendrá información sobre los objetivos, los procedimientos estándar y las herramientas que puede usar en la fase De implementación del marco CSSC.

Fondo

Las empresas pueden implementar imágenes de contenedor directamente desde registros externos o internos sin comprobar que las imágenes de contenedor están libres de vulnerabilidades y se aprueban para su uso. La implementación de imágenes de contenedor que no son de confianza y no compatibles en el entorno de hospedaje aumenta los posibles riesgos de seguridad o la ejecución de malware o código vulnerable en el entorno de hospedaje.

Las prácticas del marco CSSC ayudan a garantizar que las imágenes de contenedor listas para la implementación proceden de registros de confianza, sin vulnerabilidades y malware, y garantizan la autenticidad e integridad. Muchas empresas implementan directivas para comprobar el SBOM y las firmas de las imágenes de contenedor antes de implementarlas en Kubernetes y examinar continuamente las imágenes de contenedor para validar los informes de examen.

En la fase Implementar, nos centramos en proteger la imagen de contenedor y el entorno de implementación. Las implementaciones usan la firma de imagen de contenedor, los metadatos del ciclo de vida, los informes de vulnerabilidades y malware, SBOM y los datos de origen generados a partir de la fase de compilación con fines de comprobación para asegurarse de que las imágenes de contenedor son de confianza y compatibles antes de implementarlas en el entorno de hospedaje.

Flujo de trabajo para implementar imágenes de contenedor

La fase Implementar tiene un flujo de trabajo implementado para implementar la imagen de contenedor en cientos o miles de clústeres de todo el mundo. Las implementaciones pueden producirse de forma dinámica y a petición. Una vez compiladas, verificadas y firmadas las imágenes de contenedor, el marco CSSC promueve las imágenes de contenedor y los artefactos pertinentes están disponibles para distribuir entre registros para la fase De implementación.

  1. Implemente la directiva de integridad de imágenes para comprobar las firmas de imagen antes de la implementación para asegurarse de que no se han alterado y proceden de editores de confianza.
  2. Implemente la directiva de examen de vulnerabilidades para examinar imágenes de contenedor para detectar vulnerabilidades, establecer umbrales en función de los niveles de gravedad (CRITICAL, HIGH, MEDIUM, LOW) e implementar solo imágenes compatibles.
  3. Implemente la directiva de cumplimiento de licencias para aplicar restricciones en la implementación de imágenes de contenedor con licencias no deseadas.
  4. Implemente la directiva de provenza para comprobar que las imágenes de contenedor proceden de repositorios y orígenes de confianza antes de la implementación.
  5. Implemente la directiva de ciclo de vida de la imagen para asegurarse de que las imágenes implementadas están dentro de soporte técnico y válidas, lo que restringe la implementación de imágenes de un final de ciclo de vida y de un final de soporte técnico.
  6. Genere y firme informes de vulnerabilidades y malware para cada imagen para evitar alteraciones y proteger su integridad.
  7. Adjunte los informes firmados a imágenes de contenedor para la visibilidad y la validación de cumplimiento durante la implementación.
  8. Compruebe los metadatos de la imagen de contenedor, incluidos los SBOMs, las firmas de imagen, los informes de vulnerabilidades, los metadatos del ciclo de vida y los datos de origen.
  9. Implemente mecanismos de control de admisión para aplicar directivas de implementación y restringir la implementación de imágenes de contenedor no compatibles.
  10. Automatice los procesos de implementación con canalizaciones de CI/CD, integrando comprobaciones de comprobación y validación de imágenes.
  11. Supervise continuamente las imágenes implementadas y aplique el cumplimiento para detectar nuevas vulnerabilidades, desviaciones de cumplimiento y realizar acciones de corrección según sea necesario.
  12. Registre las actividades de implementación y realice auditorías periódicas para garantizar el cumplimiento de los estándares de seguridad y cumplimiento.
  13. Implemente procedimientos de corrección automatizados o manuales para abordar incidentes de seguridad o desviaciones de cumplimiento.
  14. Documente el proceso de implementación, incluidos los pasos realizados, las herramientas usadas y las medidas de seguridad implementadas, con fines futuros de referencia y auditoría.

Microsoft recomienda validar los metadatos de imagen en el momento de la implementación e implementar solo imágenes de contenedor desde registros de confianza. Se recomiendan los procedimientos siguientes para proteger las cargas de trabajo nativas de la nube.

  • Aplique directivas de implementación que comprueben los metadatos y restrinjan las imágenes de contenedor no compatibles. Esto evita que se implementen imágenes no aprobadas.
  • Aplique directivas de implementación que validen las firmas de imagen antes de implementar imágenes. Esto garantiza que las imágenes usadas para la implementación proceden de un publicador de confianza y no se han alterado.
  • Aplicar directivas de implementación basadas en la puntuación de vulnerabilidad. Esto evita la implementación de imágenes con vulnerabilidades por encima de un umbral determinado (CRITICAL, HIGH, MEDIUM, LOW).
  • Aplique directivas de implementación que comprueben la información del ciclo de vida para asegurarse de que las imágenes de fin de soporte técnico no se usarán en la implementación.
  • Asegúrese de que el entorno de implementación y la plataforma tienen conectividad de red segura.
  • Requerir autenticación estricta, control de acceso y permisos de archivo para denegar el acceso no autorizado a la plataforma de implementación. Esto evita posibles credenciales filtradas o cambios no autorizados.
  • Automatice el proceso de comprobación en la canalización de CI/CD.

Objetivos de seguridad en la fase De implementación

Tener un flujo de trabajo bien definido para la implementación de imágenes ayuda a las empresas a aumentar su seguridad y reducir la superficie expuesta a ataques en su cadena de suministro para contenedores. La fase De implementación del marco CSSC está pensada para satisfacer los siguientes objetivos de seguridad.

Implementación de imágenes desde orígenes de confianza y compatibles

Las directivas de seguridad deben implementarse durante la fase Implementar para comprobar que las imágenes de contenedor proceden de orígenes de confianza y no se manipulan. La integridad y la autenticidad se pueden validar comprobando las firmas de imágenes de contenedor antes de la implementación.

Implementación de directivas de seguridad de control de admisión

Las directivas de seguridad deben implementarse durante la fase De implementación para comprobar que las imágenes de contenedor son compatibles. Esto se logra comprobando las imágenes de contenedor con los siguientes metadatos de seguridad: informes de vulnerabilidades y malware, firma de imagen, SBOM, metadatos del ciclo de vida de las imágenes y metadatos de origen.

Herramientas y servicios para validar metadatos de imagen y aplicar la directiva de validación

La ratificación es un proyecto de código abierto que permite a los clústeres de Kubernetes comprobar los metadatos de seguridad antes de la implementación y admitir solo imágenes que cumplan una directiva de admisión. Se recomienda configurar La ratificación y gatekeeper para permitir que solo las imágenes de contenedor de confianza y compatibles se ejecuten en los clústeres de Kubernetes.

Gatekeeper es un proyecto de código abierto y CNCF que proporciona un controlador de admisión dinámico y un motor de directivas para definir, aplicar y auditar directivas en clústeres de Kubernetes de forma estandarizada.

Azure Policy amplía Gatekeeper para permitir que se apliquen directivas integradas en los clústeres de Azure Kubernetes Service para auditar o bloquear implementaciones que hacen referencia a imágenes de contenedor de registros externos o orígenes que no son de confianza.

Herramientas para adjuntar metadatos de imagen

ORAS es un proyecto CNCF que proporciona una manera de almacenar y administrar artefactos en registros compatibles con OCI. ORAS le permite almacenar y administrar cualquier tipo de artefacto, incluidas imágenes de contenedor, metadatos de imagen, etc. en un registro compatible con OCI. También proporciona un conjunto de herramientas de línea de comandos que facilitan la interacción con registros compatibles con OCI. Se recomienda usar ORAS para insertar los informes de vulnerabilidades y malware generados, SBOM, metadatos del ciclo de vida de la imagen y metadatos de origen junto con la imagen asociada al registro.

Herramientas para firmar y comprobar imágenes de contenedor y metadatos

El proyecto notario es un proyecto de código abierto que contiene un conjunto de especificaciones y herramientas diseñadas para proporcionar estándares entre el sector para proteger las cadenas de suministro de software a través de la firma y verificación, la portabilidad de firmas y la administración de claves y certificados. Notación es una herramienta de cadena de suministro desarrollada por la comunidad del proyecto notario que admite la firma y comprobación de artefactos en registros compatibles con Open Container Initiative (OCI) que permiten la portabilidad y la interoperabilidad de firmas. También proporciona integración con soluciones de administración de claves de terceros a través de un modelo de complemento, lo que permite la extensibilidad. Se recomienda usar las herramientas Notary Project para firmar imágenes de contenedor y metadatos para garantizar la autenticidad y la no manipulación.

Pasos siguientes

Consulte información general sobre la fase de ejecución para implementar imágenes de contenedor de forma segura.