Partager via


Vue d’ensemble de l’étape catalogue

La création d’un catalogue d’images conteneur pour une utilisation interne est la deuxième étape de la chaîne d’approvisionnement pour les conteneurs. Les images conteneur qui passent certaines case activée de qualité à partir de la phase Acquisition sont hébergées dans un registre interne. Il est essentiel de cataloguer des images conteneur afin que les équipes internes puissent facilement découvrir et consommer des images approuvées requises par les applications et services d’entreprise. En outre, les images conteneur d’un catalogue sont analysées en permanence pour les vulnérabilités et les programmes malveillants régulièrement afin de s’assurer qu’elles répondent aux dernières exigences de sécurité.

L’infrastructure CSSC (Containers Secure Supply Chain) de Microsoft identifie la nécessité de cataloguer des images conteneur et fournit un ensemble de bonnes pratiques et d’outils pour vous aider à héberger en toute sécurité des images conteneur dans un catalogue. Dans cet article, vous allez découvrir les objectifs, les meilleures pratiques et les outils que vous pouvez utiliser pour l’étape catalogue de l’infrastructure CSSC.

Background

Actuellement, les entreprises utilisent différentes approches pour gérer les images conteneur. Il s’agit d’un défi pour les ingénieurs de découvrir les images conteneur disponibles, comprendre la posture de sécurité et les restrictions de niveau d’accès au sein de l’entreprise. Certaines entreprises créent leur propre portail sur le Registre pour aider les ingénieurs à découvrir les images conteneur disponibles. En outre, certaines entreprises imposent des restrictions et des stratégies de pare-feu pour empêcher les ingénieurs d’utiliser des images conteneur directement à partir de registres externes.

L’étape catalogue de l’infrastructure CSSC recommande un ensemble d’étapes et de contrôles de sécurité qui doivent être implémentés pour s’assurer que les images conteneur sont détectables et surveillées en continu pour garantir la sécurité.

Microsoft recommande aux équipes internes d’utiliser des images conteneur à partir d’un catalogue interne dans la mesure du possible. Si les entreprises ne sont pas en mesure de le faire, nous vous recommandons les pratiques suivantes pour le catalogue d’images conteneur.

  • Cataloguez les images dorées pour permettre aux équipes internes de découvrir et d’utiliser facilement les images approuvées requises par les applications et services d’entreprise.
  • Analysez en continu les images conteneur pour détecter les vulnérabilités et les programmes malveillants, générer des rapports et signer des rapports pour garantir l’authenticité et l’intégrité.
  • Surveillez le cycle de vie des images de catalogue et retirez les images qui ne sont pas pris en charge.

Flux de travail pour le catalogue d’images conteneur

L’infrastructure CSSC recommande le flux de travail suivant pour cataloguer les images conteneur, garantir la sécurité des images conteneur, des registres internes et accepter des images conteneur à des fins d’utilisation interne. Le flux de travail pour le catalogue d’images conteneur effectue les opérations suivantes :

  1. Héberge les images conteneur qui passent des case activée de qualité et des métadonnées pertinentes dans un registre de préproduction interne.
  2. Cataloguer des images conteneur pour permettre aux équipes internes de découvrir et de consommer facilement des images approuvées requises par les applications et services d’entreprise.
  3. Planifiez des analyses régulières des vulnérabilités et des programmes malveillants et générez des rapports de vulnérabilité et de programmes malveillants.
  4. Signe les rapports avec des clés d’entreprise pour garantir l’intégrité et fournir un tampon approuvé d’approbation pour une utilisation interne.
  5. Surveillez le cycle de vie des images conteneur dans le catalogue et retirez les images qui ne sont pas pris en charge.

Objectifs de sécurité dans l’étape catalogue

L’utilisation d’un flux de travail bien défini pour le catalogue d’images conteneur aide les entreprises à accroître leur sécurité et à réduire la surface d’attaque sur leur chaîne d’approvisionnement pour les conteneurs. L’étape catalogue de l’infrastructure CSSC est destinée à satisfaire les objectifs de sécurité suivants.

Réduire la surface d’attaque en raison de dépendances externes

Si les images conteneur ne sont pas disponibles ou difficiles à trouver, les équipes internes peuvent choisir d’utiliser des images conteneur directement à partir de registres externes, ce qui les expose à des attaques telles que des images conteneur malveillantes.

Pour résoudre ce risque, l’étape catalogue dans l’infrastructure CSSC recommande de cataloguer des images dorées pour permettre aux équipes internes de découvrir et d’utiliser facilement les images approuvées requises par les applications et services d’entreprise. Il ajoute également en continu des images de la phase Acquire en fonction de l’utilisation interne de l’équipe.

Réduire le risque d’introduire des failles de sécurité

Les images conteneur d’un catalogue peuvent devenir obsolètes ou non corrigées, ce qui augmente le risque d’utiliser par inadvertance des images qui peuvent introduire des vulnérabilités de sécurité et des programmes malveillants dans des applications d’entreprise.

Pour résoudre ce risque, l’étape catalogue dans l’infrastructure CSSC recommande d’analyser en permanence les images conteneur pour détecter les vulnérabilités et les programmes malveillants et de générer des rapports dans des formats standard. Cela permet la validation des rapports avant l’utilisation dans les phases suivantes de la chaîne d’approvisionnement logicielle.

Microsoft propose un ensemble d’outils et de services qui peuvent aider les entreprises à implémenter les étapes recommandées dans le flux de travail de l’étape catalogue et à répondre aux objectifs de sécurité répertoriés ci-dessus.

Services pour l’hébergement d’images conteneur

Azure Container Registry (ACR) est un registre géré conforme à OCI qui prend en charge la distribution d’images conteneur et d’autres artefacts natifs cloud. ACR est conforme aux dernières spécifications OCI et peut être utilisé pour stocker les artefacts de la chaîne d’approvisionnement.

Outils d’analyse des vulnérabilités

Microsoft Defender pour le cloud est la solution native cloud pour améliorer, surveiller et maintenir la sécurité de vos charges de travail conteneurisées. Microsoft Defender pour le cloud offre des outils d’évaluation et de gestion des vulnérabilités pour les images stockées dans Azure Container Registry.

Outils pour garantir l’authenticité des images

Le projet prédicateur est un projet CNCF soutenu par Microsoft qui développe des spécifications et des outils pour la signature et la vérification des artefacts logiciels. L’outil du notation projet d’avocat peut être utilisé pour signer des images conteneur et d’autres artefacts natifs cloud avec des clés d’entreprise.

Étapes suivantes

Consultez la vue d’ensemble de la phase de génération pour générer en toute sécurité des images conteneur.