Condividi tramite

Panoramica della fase catalogo

  • Articolo

La creazione di un catalogo di immagini contenitore per uso interno è la seconda fase della supply chain per i contenitori. Le immagini del contenitore che superano determinati controlli di qualità dalla fase Di acquisizione sono ospitate in un registro interno. È essenziale catalogare le immagini dei contenitori in modo che i team interni possano facilmente individuare e usare immagini approvate richieste da applicazioni e servizi aziendali. Inoltre, le immagini del contenitore in un catalogo vengono analizzate continuamente per individuare regolarmente vulnerabilità e malware per garantire che soddisfino i requisiti di sicurezza più recenti.

Il framework CSSC (Containers Secure Supply Chain) di Microsoft identifica la necessità di catalogare le immagini dei contenitori e fornisce un set di procedure consigliate e strumenti che consentono di ospitare in modo sicuro le immagini dei contenitori in un catalogo. In questo articolo verranno illustrati gli obiettivi, le procedure consigliate e gli strumenti che è possibile usare per la fase catalog del framework CSSC.

Background

Attualmente, le aziende usano vari approcci per gestire le immagini dei contenitori. È una sfida per i tecnici individuare le immagini dei contenitori disponibili, comprendere il comportamento di sicurezza e le restrizioni del livello di accesso all'interno dell'organizzazione. Alcune aziende creano il proprio portale all'interno del registro per aiutare i tecnici a individuare le immagini dei contenitori disponibili. Inoltre, alcune aziende impongono restrizioni e criteri firewall per impedire ai tecnici di usare le immagini dei contenitori direttamente dai registri esterni.

La fase Catalogo del framework CSSC consiglia un set di passaggi e controlli di sicurezza che devono essere implementati per garantire che le immagini del contenitore siano individuabili e monitorate continuamente per garantire la sicurezza.

Microsoft consiglia ai team interni di usare immagini del contenitore da un catalogo interno, quando possibile. Nel caso in cui le aziende non siano in grado di farlo, è consigliabile seguire le procedure seguenti per il catalogo di immagini del contenitore.

  • Catalogare immagini dorate per consentire ai team interni di individuare e utilizzare facilmente immagini approvate richieste da applicazioni e servizi aziendali.
  • Analizzare continuamente le immagini del contenitore per individuare vulnerabilità e malware, generare report e firmare report per garantire l'autenticità e l'integrità.
  • Monitorare il ciclo di vita delle immagini del catalogo e ritirare immagini non supportate.

Flusso di lavoro per il catalogo di immagini del contenitore

Il framework CSSC consiglia il flusso di lavoro seguente per catalogare le immagini del contenitore, garantire la sicurezza per le immagini del contenitore, i registri interni e consentire l'accettazione di immagini del contenitore per l'uso interno. Il flusso di lavoro per il catalogo di immagini del contenitore esegue le operazioni seguenti:

  1. Ospita le immagini del contenitore che superano i controlli di qualità e i metadati pertinenti in un registro di gestione temporanea interno.
  2. Catalogare le immagini dei contenitori per consentire ai team interni di individuare e usare facilmente immagini approvate richieste da applicazioni e servizi aziendali.
  3. Pianificare analisi di vulnerabilità e malware a cadenza regolare e genera report di vulnerabilità e malware.
  4. Firma i report con chiavi aziendali per garantire l'integrità e fornire un timbro attendibile di approvazione per l'uso interno.
  5. Monitorare il ciclo di vita delle immagini del contenitore nel catalogo e ritirare le immagini non supportate.

Obiettivi di sicurezza nella fase del catalogo

La presenza di un flusso di lavoro ben definito per il catalogo delle immagini dei contenitori consente alle aziende di aumentare la sicurezza e ridurre la superficie di attacco nella supply chain per i contenitori. La fase catalogo del framework CSSC è progettata per soddisfare gli obiettivi di sicurezza seguenti.

Ridurre la superficie di attacco a causa di dipendenze esterne

Se le immagini del contenitore non sono disponibili o difficili da trovare, i team interni possono scegliere di usare le immagini del contenitore direttamente dai registri esterni, esponendole ad attacchi come immagini di contenitori dannosi.

Per risolvere questo rischio, la fase catalogo nel framework CSSC consiglia immagini dorate del catalogo per consentire ai team interni di individuare e utilizzare facilmente immagini approvate richieste da applicazioni e servizi aziendali. Aggiunge inoltre continuamente immagini dalla fase Acquire in base all'utilizzo interno del team.

Ridurre al minimo il rischio di introdurre difetti di sicurezza

Le immagini del contenitore in un catalogo possono diventare obsolete o senza patch, aumentando così il rischio di inavvertitamente l'uso di immagini che possono introdurre vulnerabilità di sicurezza e malware nelle applicazioni aziendali.

Per risolvere questo rischio, la fase catalog nel framework CSSC consiglia di analizzare continuamente le immagini del contenitore per individuare vulnerabilità e malware e generare report in formati standard. Ciò consente la convalida dei report prima dell'uso nelle fasi successive della supply chain del software.

Microsoft offre un set di strumenti e servizi che consentono alle aziende di implementare i passaggi consigliati nel flusso di lavoro della fase del catalogo e di soddisfare gli obiettivi di sicurezza elencati in precedenza.

Servizi per l'hosting di immagini del contenitore

Registro Azure Container (ACR) è un registro conforme a OCI gestito che supporta la distribuzione di immagini del contenitore e altri artefatti nativi del cloud. ACR è conforme alle specifiche OCI più recenti e può essere usato per archiviare gli artefatti della supply chain.

Strumenti per l'analisi delle vulnerabilità

Microsoft Defender per il cloud è la soluzione nativa del cloud per migliorare, monitorare e gestire la sicurezza dei carichi di lavoro in contenitori. Microsoft Defender per il cloud offre strumenti di valutazione e gestione delle vulnerabilità per le immagini archiviate in Registro Azure Container.

Strumenti per garantire l'autenticità delle immagini

Notary Project è un progetto CNF supportato da Microsoft che sviluppa specifiche e strumenti per la firma e la verifica degli artefatti software. Lo strumento Notary Project può essere usato per firmare immagini del contenitore e altri artefatti nativi del notation cloud con chiavi aziendali.

Passaggi successivi

Vedere la panoramica della fase di compilazione per la creazione sicura di immagini del contenitore.