Udostępnij za pośrednictwem

Podpisywanie obrazów kontenerów za pomocą notacji i usługi Azure Key Vault przy użyciu certyfikatu z podpisem własnym

  • Artykuł

Podpisywanie obrazów kontenerów to proces zapewniający ich autentyczność i integralność. Można to osiągnąć przez dodanie podpisu cyfrowego do obrazu kontenera, który można zweryfikować podczas wdrażania. Podpis pomaga sprawdzić, czy obraz pochodzi z zaufanego wydawcy i nie został zmodyfikowany. Notacja to narzędzie zabezpieczeń łańcucha dostaw typu open source opracowane przez społeczność Notary Project i wspierane przez firmę Microsoft, które obsługuje podpisywanie i weryfikowanie obrazów kontenerów i innych artefaktów. Usługa Azure Key Vault (AKV) służy do przechowywania certyfikatów z kluczami podpisywania, których można używać za pomocą wtyczki Notation AKV (azure-kv) do podpisywania i weryfikowania obrazów kontenerów i innych artefaktów. Usługa Azure Container Registry (ACR) umożliwia dołączanie podpisów do obrazów kontenerów i innych artefaktów, a także wyświetlanie tych podpisów.

W tym samouczku:

  • Instalowanie interfejsu wiersza polecenia notacji i wtyczki AKV
  • Tworzenie certyfikatu z podpisem własnym w usłudze AKV
  • Kompilowanie i wypychanie obrazu kontenera za pomocą usługi ACR Tasks
  • Podpisywanie obrazu kontenera przy użyciu interfejsu wiersza polecenia notacji i wtyczki AKV
  • Weryfikowanie obrazu kontenera względem podpisu za pomocą interfejsu wiersza polecenia notacji
  • Znaczniki czasu

Wymagania wstępne

Instalowanie interfejsu wiersza polecenia notacji i wtyczki AKV

  1. Zainstaluj notację w wersji 1.2.0 w środowisku systemu Linux amd64. Postępuj zgodnie z przewodnikiem instalacji notacji, aby pobrać pakiet dla innych środowisk.

    # Download, extract and install
curl -Lo notation.tar.gz https://github.com/notaryproject/notation/releases/download/v1.2.0/notation_1.2.0_linux_amd64.tar.gz
tar xvzf notation.tar.gz

# Copy the Notation binary to the desired bin directory in your $PATH, for example
cp ./notation /usr/local/bin

  2. Zainstaluj wtyczkę azure-kv Notation Azure Key Vault w wersji 1.2.0 w środowisku systemu Linux amd64.

    Uwaga

    Adres URL i sumę kontrolną SHA256 dla wtyczki Notation Azure Key Vault można znaleźć na stronie wydania wtyczki.

    notation plugin install --url https://github.com/Azure/notation-azure-kv/releases/download/v1.2.0/notation-azure-kv_1.2.0_linux_amd64.tar.gz --sha256sum 06bb5198af31ce11b08c4557ae4c2cbfb09878dfa6b637b7407ebc2d57b87b34

  3. Wyświetl listę dostępnych wtyczek i upewnij się, że wtyczka azure-kv z wersją 1.2.0 znajduje się na liście.

    notation plugin ls

Skonfiguruj zmienne środowiskowe

Uwaga

Aby ułatwić wykonywanie poleceń w samouczku, podaj wartości zasobów platformy Azure, aby dopasować je do istniejących zasobów usługi ACR i usługi AKV.

  1. Skonfiguruj nazwy zasobów usługi AKV.

    AKV_SUB_ID=myAkvSubscriptionId
AKV_RG=myAkvResourceGroup
# Name of the existing AKV used to store the signing keys
AKV_NAME=myakv
# Name of the certificate created in AKV
CERT_NAME=wabbit-networks-io
CERT_SUBJECT="CN=wabbit-networks.io,O=Notation,L=Seattle,ST=WA,C=US"
CERT_PATH=./${CERT_NAME}.pem

  2. Konfigurowanie nazw zasobów usługi ACR i obrazów.

    ACR_SUB_ID=myAcrSubscriptionId
ACR_RG=myAcrResourceGroup
# Name of the existing registry example: myregistry.azurecr.io
ACR_NAME=myregistry
# Existing full domain of the ACR
REGISTRY=$ACR_NAME.azurecr.io
# Container name inside ACR where image will be stored
REPO=net-monitor
TAG=v1
IMAGE=$REGISTRY/${REPO}:$TAG
# Source code directory containing Dockerfile to build
IMAGE_SOURCE=https://github.com/wabbit-networks/net-monitor.git#main

Logowanie się za pomocą interfejsu wiersza polecenia platformy Azure

az login

Aby dowiedzieć się więcej na temat interfejsu wiersza polecenia platformy Azure i sposobu logowania się przy użyciu niego, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

Zabezpieczanie uprawnień dostępu do usług ACR i AKV

Podczas pracy z usługami ACR i AKV niezbędne jest przyznanie odpowiednich uprawnień w celu zapewnienia bezpiecznego i kontrolowanego dostępu. Możesz autoryzować dostęp dla różnych jednostek, takich jak jednostki użytkownika, jednostki usługi lub tożsamości zarządzane, w zależności od określonych scenariuszy. W tym samouczku dostęp jest autoryzowany do zalogowanego użytkownika platformy Azure.

Autoryzowanie dostępu do usługi ACR

Role i AcrPush są wymagane do podpisywania AcrPull obrazów kontenerów w usłudze ACR.

  1. Ustawianie subskrypcji zawierającej zasób usługi ACR

    az account set --subscription $ACR_SUB_ID

  2. Przypisywanie ról

    USER_ID=$(az ad signed-in-user show --query id -o tsv)
az role assignment create --role "AcrPull" --role "AcrPush" --assignee $USER_ID --scope "/subscriptions/$ACR_SUB_ID/resourceGroups/$ACR_RG/providers/Microsoft.ContainerRegistry/registries/$ACR_NAME"

Autoryzowanie dostępu do usługi AKV

W tej sekcji zapoznamy się z dwiema opcjami autoryzowania dostępu do usługi AKV.

Do podpisywania przy użyciu certyfikatów z podpisem własnym są wymagane następujące role:

  • Key Vault Certificates Officer do tworzenia i odczytywania certyfikatów
  • Key Vault Certificates Userdo odczytywania istniejących certyfikatów
  • Key Vault Crypto User na potrzeby operacji podpisywania

Aby dowiedzieć się więcej o dostępie do usługi Key Vault za pomocą kontroli dostępu opartej na rolach platformy Azure, zobacz Używanie kontroli dostępu na podstawie ról platformy Azure na potrzeby zarządzania dostępem.

  1. Ustawianie subskrypcji zawierającej zasób usługi AKV

    az account set --subscription $AKV_SUB_ID

  2. Przypisywanie ról

    USER_ID=$(az ad signed-in-user show --query id -o tsv)
az role assignment create --role "Key Vault Certificates Officer" --role "Key Vault Crypto User" --assignee $USER_ID --scope "/subscriptions/$AKV_SUB_ID/resourceGroups/$AKV_RG/providers/Microsoft.KeyVault/vaults/$AKV_NAME"

Przypisywanie zasad dostępu w usłudze AKV (starsza wersja)

Dla tożsamości wymagane są następujące uprawnienia:

  • Create uprawnienia do tworzenia certyfikatu
  • Get uprawnienia do odczytywania istniejących certyfikatów
  • Sign uprawnienia do operacji podpisywania

Aby dowiedzieć się więcej na temat przypisywania zasad do podmiotu zabezpieczeń, zobacz Przypisywanie zasad dostępu.

  1. Ustaw subskrypcję zawierającą zasób usługi AKV:

    az account set --subscription $AKV_SUB_ID

  2. Ustaw zasady dostępu w usłudze AKV:

    USER_ID=$(az ad signed-in-user show --query id -o tsv)
az keyvault set-policy -n $AKV_NAME --certificate-permissions create get --key-permissions sign --object-id $USER_ID

Ważne

W tym przykładzie przedstawiono minimalne uprawnienia wymagane do utworzenia certyfikatu i podpisania obrazu kontenera. W zależności od wymagań może być konieczne przyznanie dodatkowych uprawnień.

Tworzenie certyfikatu z podpisem własnym w usłudze AKV (interfejs wiersza polecenia platformy Azure)

W poniższych krokach pokazano, jak utworzyć certyfikat z podpisem własnym na potrzeby testowania.

  1. Utwórz plik zasad certyfikatu.

    Po wykonaniu pliku zasad certyfikatu, jak pokazano poniżej, tworzy prawidłowy certyfikat zgodny z wymaganiami certyfikatu programu Project notary w usłudze AKV. Wartość parametru ekus dotyczy podpisywania kodu, ale nie jest wymagana do notacji w celu podpisania artefaktów. Temat jest używany później jako tożsamość zaufania, której ufa użytkownik podczas weryfikacji.

    cat <<EOF > ./my_policy.json
{
    "issuerParameters": {
    "certificateTransparency": null,
    "name": "Self"
    },
    "keyProperties": {
      "exportable": false,
      "keySize": 2048,
      "keyType": "RSA",
      "reuseKey": true
    },
    "secretProperties": {
      "contentType": "application/x-pem-file"
    },
    "x509CertificateProperties": {
    "ekus": [
        "1.3.6.1.5.5.7.3.3"
    ],
    "keyUsage": [
        "digitalSignature"
    ],
    "subject": "$CERT_SUBJECT",
    "validityInMonths": 12
    }
}
EOF

  2. Utwórz certyfikat.

    az keyvault certificate create -n $CERT_NAME --vault-name $AKV_NAME -p @my_policy.json

Podpisywanie obrazu kontenera przy użyciu interfejsu wiersza polecenia notacji i wtyczki AKV

  1. Uwierzytelnianie w usłudze ACR przy użyciu indywidualnej tożsamości platformy Azure.

    az acr login --name $ACR_NAME

Ważne

Jeśli platforma Docker jest zainstalowana w systemie i używana az acr login do uwierzytelniania w usłudze ACR, docker login poświadczenia są już przechowywane i dostępne do notacji. W takim przypadku nie trzeba uruchamiać notation login ponownie, aby uwierzytelnić się w usłudze ACR. Aby dowiedzieć się więcej na temat opcji uwierzytelniania dla notacji, zobacz Uwierzytelnianie przy użyciu rejestrów zgodnych z protokołem OCI.

  1. Skompiluj i wypchnij nowy obraz za pomocą usługi ACR Tasks. Zawsze używaj wartości skrótu, aby zidentyfikować obraz do podpisywania, ponieważ tagi są modyfikowalne i można je zastąpić.

    DIGEST=$(az acr build -r $ACR_NAME -t $REGISTRY/${REPO}:$TAG $IMAGE_SOURCE --no-logs --query "outputImages[0].digest" -o tsv)
IMAGE=$REGISTRY/${REPO}@$DIGEST

    W tym samouczku, jeśli obraz został już skompilowany i jest przechowywany w rejestrze, tag służy jako identyfikator dla tego obrazu dla wygody.

    IMAGE=$REGISTRY/${REPO}:$TAG

  2. Pobierz identyfikator klucza podpisywania. Certyfikat w usłudze AKV może mieć wiele wersji. Następujące polecenie pobiera identyfikator klucza najnowszej wersji.

    KEY_ID=$(az keyvault certificate show -n $CERT_NAME --vault-name $AKV_NAME --query 'kid' -o tsv)

  3. Podpisz obraz kontenera przy użyciu formatu podpisu COSE przy użyciu identyfikatora klucza podpisywania. Aby zalogować się przy użyciu certyfikatu z podpisem własnym, należy ustawić wartość self_signed=truekonfiguracji wtyczki .

    notation sign --signature-format cose --id $KEY_ID --plugin azure-kv --plugin-config self_signed=true $IMAGE

    Aby uwierzytelnić się za pomocą usługi AKV, domyślnie następujące typy poświadczeń, jeśli są włączone, zostaną wypróbowane w następującej kolejności:

    Jeśli chcesz określić typ poświadczeń, użyj dodatkowej konfiguracji wtyczki o nazwie credential_type. Możesz na przykład jawnie ustawić wartość credential_type na azurecli potrzeby korzystania z poświadczeń interfejsu wiersza polecenia platformy Azure, jak pokazano poniżej:

    notation sign --signature-format cose --id $KEY_ID --plugin azure-kv --plugin-config self_signed=true --plugin-config credential_type=azurecli $IMAGE

    Poniższa tabela zawiera wartości credential_type różnych typów poświadczeń.

    Typ poświadczeń Wartość dla credential_type
    Poświadczenia środowiska environment
    Poświadczenia tożsamości obciążenia workloadid
    Poświadczenia tożsamości zarządzanej managedid
    Poświadczenia interfejsu wiersza polecenia platformy Azure azurecli

  4. Wyświetl graf podpisanych obrazów i skojarzonych podpisów.

    notation ls $IMAGE

Weryfikowanie obrazu kontenera za pomocą interfejsu wiersza polecenia notacji

Aby zweryfikować obraz kontenera, dodaj certyfikat główny podpisujący certyfikat liścia do magazynu zaufania i utwórz zasady zaufania na potrzeby weryfikacji. W przypadku certyfikatu z podpisem własnym używanego w tym samouczku certyfikat główny jest certyfikatem z podpisem własnym.

  1. Pobierz certyfikat publiczny.

    az keyvault certificate download --name $CERT_NAME --vault-name $AKV_NAME --file $CERT_PATH

  2. Dodaj pobrany certyfikat publiczny do nazwanego magazynu zaufania na potrzeby weryfikacji podpisu.

    STORE_TYPE="ca"
STORE_NAME="wabbit-networks.io"
notation cert add --type $STORE_TYPE --store $STORE_NAME $CERT_PATH

  3. Wyświetl listę certyfikatów, aby potwierdzić.

    notation cert ls

  4. Skonfiguruj zasady zaufania przed weryfikacją.

    Zasady zaufania umożliwiają użytkownikom określanie dostrojonych zasad weryfikacji. W poniższym przykładzie skonfigurowano zasady zaufania o nazwie wabbit-networks-images, które mają zastosowanie do wszystkich artefaktów w $REGISTRY/$REPO programie i używają nazwanego magazynu $STORE_NAME zaufania typu $STORE_TYPE. Przyjęto również założenie, że użytkownik ufa określonej tożsamości z tematem $CERT_SUBJECTX.509 . Aby uzyskać więcej informacji, zobacz Specyfikacje zasad zaufania i magazynu zaufania.

    cat <<EOF > ./trustpolicy.json
{
    "version": "1.0",
    "trustPolicies": [
        {
            "name": "wabbit-networks-images",
            "registryScopes": [ "$REGISTRY/$REPO" ],
            "signatureVerification": {
                "level" : "strict" 
            },
            "trustStores": [ "$STORE_TYPE:$STORE_NAME" ],
            "trustedIdentities": [
                "x509.subject: $CERT_SUBJECT"
            ]
        }
    ]
}
EOF

  5. Użyj polecenia notation policy , aby zaimportować konfigurację zasad zaufania z utworzonego wcześniej pliku JSON.

    notation policy import ./trustpolicy.json
notation policy show

  6. Użyj polecenia notation verify , aby sprawdzić, czy obraz kontenera nie został zmieniony od czasu kompilacji.

    notation verify $IMAGE

    Po pomyślnej weryfikacji obrazu przy użyciu zasad zaufania skrót sha256 zweryfikowanego obrazu jest zwracany w pomyślnym komunikacie wyjściowym.

Znaczniki czasu

Od wersji Notation w wersji 1.2.0 notacja obsługuje zgodne znaczniki czasu RFC 3161 . To ulepszenie rozszerza zaufanie podpisów utworzonych w okresie ważności certyfikatu, ufając urzędowi sygnatury czasowej (TSA), umożliwiając pomyślną weryfikację podpisu nawet po wygaśnięciu certyfikatów. Jako użytkownik podpisujący obraz należy upewnić się, że podpisujesz obrazy kontenerów przy użyciu sygnatur czasowych generowanych przez zaufany TSA. Jako weryfikator obrazu, aby zweryfikować znaczniki czasu, należy upewnić się, że ufasz zarówno podpisywaniu obrazu, jak i skojarzonemu TSA, a także ustanowić zaufanie za pośrednictwem magazynów zaufania i zasad zaufania. Znacznik czasu zmniejsza koszty, eliminując konieczność okresowego ponownego podpisywania obrazów z powodu wygaśnięcia certyfikatu, co jest szczególnie krytyczne w przypadku używania certyfikatów krótkotrwałych. Aby uzyskać szczegółowe instrukcje dotyczące podpisywania i weryfikowania przy użyciu znacznika czasu, zapoznaj się z przewodnikiem notary Project timestamping (Notary Project timestamping guide).

Następne kroki

Notacja udostępnia również rozwiązania ciągłej integracji/ciągłego wdrażania w przepływie pracy usługi Azure Pipeline i GitHub Actions:

Aby zweryfikować podpisane wdrożenie obrazu w usłudze AKS lub Kubernetes: