Udostępnij za pośrednictwem

Omówienie etapu Wdrażania

  • Artykuł

Etap wdrażania to czwarty etap struktury Secure Supply Chain (CSSC) kontenerów. Przedsiębiorstwa mogą wdrażać obrazy kontenerów w swoim środowisku hostingu w celu uruchamiania konteneryzowanych obciążeń bez weryfikowania zabezpieczeń i zgodności tych obrazów kontenerów. Zwiększa to potencjalne zagrożenia bezpieczeństwa lub może spowodować uruchomienie podatnego na zagrożenia lub złośliwego kodu w środowisku hostingu. Metadane i zaświadczania obrazu kontenera utworzone w poprzednich etapach powinny być weryfikowane w czasie wdrażania. Dzięki temu wdrożenie jest zgodne z zasadami zabezpieczeń i zgodności w całym przedsiębiorstwie.

Platforma Secure Supply Chain (CSSC) firmy Microsoft identyfikuje potrzebę wdrożenia obrazów w zgodny sposób. Struktura CSSC zaleca zestaw standardowych rozwiązań i narzędzi ułatwiających bezpieczne wdrażanie obrazów przez weryfikowanie metadanych obrazu i implementowanie zasad zgodności. W tym artykule poznasz cele, standardowe praktyki i narzędzia, których można używać na etapie Wdrażania platformy CSSC.

Tło

Przedsiębiorstwa mogą wdrażać obrazy kontenerów bezpośrednio z rejestrów zewnętrznych lub wewnętrznych bez sprawdzania, czy obrazy kontenerów są wolne od luk w zabezpieczeniach i są zatwierdzone do użycia. Wdrażanie niezaufanych i niezgodnych obrazów kontenerów w środowisku hostingu zwiększa potencjalne zagrożenia bezpieczeństwa lub wykonywanie złośliwego oprogramowania lub kodu podatnego na zagrożenia w środowisku hostingu.

Praktyki struktury CSSC pomagają zapewnić, że gotowe do wdrożenia obrazy kontenerów pochodzą z zaufanych rejestrów, bez luk w zabezpieczeniach i złośliwego oprogramowania oraz zapewniają autentyczność i integralność. Wiele przedsiębiorstw wdraża zasady w celu zweryfikowania SBOM i podpisów obrazów kontenerów przed ich wdrożeniem na platformie Kubernetes oraz ciągłego skanowania obrazów kontenerów w celu zweryfikowania raportów skanowania.

Na etapie Wdrażania koncentrujemy się na zabezpieczaniu obrazu kontenera i środowiska wdrażania. Wdrożenia używają sygnatury obrazu kontenera, metadanych cyklu życia, raportów luk w zabezpieczeniach i złośliwego oprogramowania, SBOM i danych pochodzenia generowanych na etapie kompilacji na potrzeby weryfikacji, aby upewnić się, że obrazy kontenerów są zaufane i zgodne przed wdrożeniem ich w środowisku hostingu.

Przepływ pracy wdrażania obrazów kontenerów

Etap wdrażania zawiera przepływ pracy umożliwiający wdrożenie obrazu kontenera w setkach lub tysiącach klastrów na całym świecie. Wdrożenia mogą odbywać się dynamicznie i na żądanie. Gdy obrazy kontenerów zostaną skompilowane, zweryfikowane i podpisane, struktura CSSC promuje obrazy kontenerów, a odpowiednie artefakty są dostępne do dystrybucji między rejestrami na etapie wdrażania.

  1. Zaimplementuj zasady integralności obrazów, aby zweryfikować podpisy obrazów przed wdrożeniem, aby upewnić się, że nie zostały naruszone i pochodzą z zaufanych wydawców.
  2. Zaimplementuj zasady skanowania luk w zabezpieczeniach, aby skanować obrazy kontenerów pod kątem luk w zabezpieczeniach, ustawiać progi na podstawie poziomów ważności (CRITICAL, HIGH, MEDIUM, LOW) i wdrażać tylko zgodne obrazy.
  3. Zaimplementuj zasady zgodności licencji, aby wymusić ograniczenia wdrażania obrazów kontenerów z niepożądanymi licencjami.
  4. Zaimplementuj zasady pochodzenia, aby sprawdzić, czy obrazy kontenerów pochodzą z zaufanych źródeł i repozytoriów przed wdrożeniem.
  5. Zaimplementuj zasady cyklu życia obrazów, aby upewnić się, że wdrożone obrazy są obsługiwane i prawidłowe, ograniczając wdrażanie obrazów końca życia i końca wsparcia technicznego.
  6. Generowanie i podpisywanie raportów dotyczących luk w zabezpieczeniach i złośliwego oprogramowania dla każdego obrazu w celu uniknięcia naruszenia i zabezpieczenia ich integralności.
  7. Dołącz podpisane raporty do obrazów kontenerów w celu zapewnienia widoczności i walidacji zgodności podczas wdrażania.
  8. Zweryfikuj metadane obrazu kontenera, w tym SBOMs, podpisy obrazów, raporty o lukach w zabezpieczeniach, metadane cyklu życia i dane pochodzenia.
  9. Zaimplementuj mechanizmy kontroli dostępu, aby wymusić zasady wdrażania i ograniczyć wdrażanie niezgodnych obrazów kontenerów.
  10. Automatyzowanie procesów wdrażania przy użyciu potoków ciągłej integracji/ciągłego wdrażania, integrowania weryfikacji obrazu i sprawdzania weryfikacji.
  11. Ciągłe monitorowanie wdrożonych obrazów i wymuszanie zgodności w celu wykrywania nowych luk w zabezpieczeniach, odchyleń zgodności i podejmowania działań korygujących zgodnie z potrzebami.
  12. Rejestrowanie działań związanych z wdrażaniem i przeprowadzanie regularnych inspekcji w celu zapewnienia zgodności ze standardami zabezpieczeń i zgodności.
  13. Zaimplementuj zautomatyzowane lub ręczne procedury korygowania w celu rozwiązania zdarzeń zabezpieczeń lub odchyleń zgodności.
  14. Dokumentowanie procesu wdrażania, w tym kroków podejmowanych, używanych narzędzi i wszelkich wdrożonych środków zabezpieczeń, na potrzeby przyszłych odwołań i inspekcji.

Firma Microsoft zaleca weryfikowanie metadanych obrazu w czasie wdrażania i wdrażanie tylko obrazów kontenerów z zaufanych rejestrów. Poniższe rozwiązania są zalecane do zabezpieczania obciążeń natywnych dla chmury.

  • Wymuszaj zasady wdrażania, które weryfikują metadane i ograniczają niezgodne obrazy kontenerów. Zapobiega to wdrażaniu niezatwierdzonych obrazów.
  • Wymuszaj zasady wdrażania, które weryfikują podpisy obrazów przed wdrożeniem obrazów. Dzięki temu obrazy używane do wdrożenia pochodzą z zaufanego wydawcy i nie zostały naruszone.
  • Wymuszanie zasad wdrażania na podstawie oceny luk w zabezpieczeniach. Zapobiega to wdrażaniu obrazów z lukami w zabezpieczeniach powyżej określonego progu (CRITICAL, HIGH, MEDIUM, LOW).
  • Wymuszaj zasady wdrażania, które weryfikują informacje o cyklu życia, aby upewnić się, że obrazy kompleksowej obsługi nie będą używane we wdrożeniu.
  • Upewnij się, że środowisko wdrażania i platforma mają bezpieczną łączność sieciową.
  • Wymagaj ścisłego uwierzytelniania, kontroli dostępu i uprawnień do plików w celu odmowy nieautoryzowanego dostępu do platformy wdrażania. Pozwala to uniknąć potencjalnych wycieków poświadczeń lub nieautoryzowanych zmian.
  • Automatyzowanie procesu weryfikacji w potoku ciągłej integracji/ciągłego wdrażania.

Cele zabezpieczeń na etapie wdrażania

Posiadanie dobrze zdefiniowanego przepływu pracy na potrzeby wdrażania obrazów pomaga przedsiębiorstwom zwiększyć bezpieczeństwo i zmniejszyć obszar ataków w łańcuchu dostaw dla kontenerów. Etap wdrażania platformy CSSC jest przeznaczony do spełnienia następujących celów zabezpieczeń.

Wdrażanie obrazów z zaufanych i zgodnych źródeł

Zasady zabezpieczeń należy zaimplementować podczas etapu Wdrażanie, aby sprawdzić, czy obrazy kontenerów pochodzą z zaufanych źródeł i nie zostały naruszone. Integralność i autentyczność można zweryfikować, weryfikując podpisy obrazów kontenerów przed wdrożeniem.

Implementowanie zasad zabezpieczeń kontroli dostępu

Zasady zabezpieczeń należy zaimplementować podczas etapu Wdrażanie, aby sprawdzić, czy obrazy kontenerów są zgodne. Można to osiągnąć, weryfikując obrazy kontenerów pod kątem następujących metadanych zabezpieczeń: raporty o lukach w zabezpieczeniach i złośliwym oprogramowaniu, podpis obrazu, SBOMs, metadane cyklu życia obrazu i metadane pochodzenia.

Narzędzia i usługi do sprawdzania poprawności metadanych obrazu i wymuszania zasad walidacji

Ratify to projekt typu open source, który umożliwia klastrom Kubernetes weryfikowanie metadanych zabezpieczeń przed wdrożeniem i przyznawanie tylko obrazów, które są zgodne z zasadami przyjmowania. Zalecamy skonfigurowanie modułów Ratify i Gatekeeper w celu umożliwienia uruchamiania tylko zaufanych i zgodnych obrazów kontenerów w klastrach Kubernetes.

Gatekeeper to projekt open source i CNCF, który zapewnia dynamiczny kontroler dostępu i aparat zasad do definiowania, wymuszania i inspekcji zasad w klastrach Kubernetes w sposób ustandaryzowany.

Usługa Azure Policy rozszerza usługę Gatekeeper, aby umożliwić stosowanie wbudowanych zasad w klastrach usługi Azure Kubernetes Service w celu przeprowadzania inspekcji lub blokowania wdrożeń odwołująjących się do obrazów kontenerów z zewnętrznych rejestrów lub niezaufanych źródeł.

Narzędzia do dołączania metadanych obrazu

ORAS to projekt CNCF, który umożliwia przechowywanie artefaktów i zarządzanie nimi w rejestrach zgodnych ze standardem OCI. Usługa ORAS umożliwia przechowywanie dowolnego typu artefaktu i zarządzanie nim, w tym obrazów kontenerów, metadanych obrazu i nie tylko, w rejestrze zgodnym ze standardem OCI. Udostępnia również zestaw narzędzi wiersza polecenia, które ułatwiają interakcję z rejestrami zgodnymi ze standardem OCI. Zalecamy wypychanie wygenerowanych raportów o lukach w zabezpieczeniach i złośliwego oprogramowania, SBOM, metadanych cyklu życia obrazu i metadanych pochodzenia wraz ze skojarzonym obrazem do rejestru.

Narzędzia do podpisywania i weryfikowania obrazów kontenerów i metadanych

Projekt notary jest projektem typu open source zawierającym zestaw specyfikacji i narzędzi przeznaczonych do zapewniania standardów branżowych dotyczących zabezpieczania łańcuchów dostaw oprogramowania poprzez podpisywanie i weryfikację, przenośność podpisów i zarządzanie kluczami/certyfikatami. Notacja to narzędzie łańcucha dostaw opracowane przez społeczność notary Project, które obsługuje podpisywanie i weryfikowanie artefaktów w rejestrach zgodnych z protokołem Open Container Initiative (OCI), co umożliwia przenoszenie podpisów i współdziałanie. Zapewnia również integrację z rozwiązaniami do zarządzania kluczami innych firm za pośrednictwem modelu wtyczki, umożliwiając rozszerzalność. Zalecamy używanie narzędzi Notary Project do podpisywania obrazów kontenerów i metadanych w celu zapewnienia autentyczności i nieuwzręcania manipulacji.

Następne kroki

Zobacz omówienie etapu uruchamiania, aby bezpiecznie wdrożyć obrazy kontenerów.