Поделиться через

Обзор этапа каталога

  • Статья

Создание каталога образов контейнеров для внутреннего использования — это второй этап цепочки поставок для контейнеров. Образы контейнеров, которые передают определенные проверка качества с этапа приобретения, размещаются в внутреннем реестре. Важно каталогировать образы контейнеров, чтобы внутренние команды могли легко обнаруживать и использовать утвержденные образы, необходимые корпоративным приложениям и службам. Кроме того, образы контейнеров в каталоге постоянно проверяются на наличие уязвимостей и вредоносных программ на регулярной основе, чтобы обеспечить соблюдение последних требований к безопасности.

Платформа microsoft Container Secure Supply Chain (CSSC) определяет необходимость каталога образов контейнеров и предоставляет набор рекомендаций и средств для безопасного размещения образов контейнеров в каталоге. В этой статье вы узнаете о целях, рекомендациях и средствах, которые можно использовать для этапа каталога платформы CSSC.

Общие сведения

В настоящее время предприятия используют различные подходы к управлению образами контейнеров. Это проблема для инженеров для обнаружения доступных образов контейнеров, понимания состояния безопасности и ограничений на уровень доступа в пределах предприятия. Некоторые предприятия создают собственный портал на вершине реестра, чтобы помочь инженерам обнаруживать доступные образы контейнеров. Кроме того, некоторые предприятия применяют ограничения брандмауэра и политики, чтобы ограничить использование образов контейнеров непосредственно из внешних реестров.

Этап каталога платформы CSSC рекомендует набор шагов и элементов управления безопасностью, которые должны быть реализованы, чтобы гарантировать, что образы контейнеров обнаруживаются и отслеживаются непрерывно, чтобы обеспечить безопасность.

Корпорация Майкрософт рекомендует по возможности использовать образы контейнеров из внутреннего каталога. Если предприятия не могут это сделать, рекомендуется использовать следующие методики для каталога образов контейнеров.

  • Каталог золотых изображений, чтобы внутренние команды могли легко обнаруживать и использовать утвержденные образы , необходимые корпоративным приложениям и службам.
  • Непрерывно сканирует образы контейнеров для уязвимостей и вредоносных программ, создает отчеты и подписывает отчеты, чтобы обеспечить подлинность и целостность.
  • Отслеживайте жизненный цикл образов каталога и удаляйте образы, которые не поддерживаются.

Рабочий процесс для каталога образов контейнеров

Платформа CSSC рекомендует следующий рабочий процесс для каталогизации образов контейнеров, обеспечения безопасности образов контейнеров, внутренних реестров и принятия образов контейнеров для внутреннего использования. Рабочий процесс для каталога образов контейнеров выполняет следующие действия.

  1. Размещает образы контейнеров, которые передают качественные проверка и соответствующие метаданные во внутреннем промежуточном реестре.
  2. Образы контейнеров каталога позволяют внутренним командам легко обнаруживать и использовать утвержденные образы, необходимые корпоративным приложениям и службам.
  3. Планирование проверок уязвимостей и вредоносных программ на регулярной основе и создание отчетов об уязвимостях и вредоносных программах.
  4. Подписывает отчеты корпоративными ключами для обеспечения целостности и предоставления доверенной метки утверждения для внутреннего использования.
  5. Отслеживайте жизненный цикл образов контейнеров в каталоге и удаляйте образы, которые не поддерживаются.

Цели безопасности на этапе каталога

Наличие четко определенного рабочего процесса для каталога образов контейнеров помогает предприятиям повысить безопасность и уменьшить область атак в цепочке поставок для контейнеров. Этап каталога платформы CSSC предназначен для удовлетворения следующих целей безопасности.

Уменьшение области атак из-за внешних зависимостей

Если образы контейнеров недоступны или трудно найти, внутренние команды могут использовать образы контейнеров непосредственно из внешних реестров, что предоставляет их атакам, таким как вредоносные образы контейнеров.

Чтобы устранить этот риск, этап каталога в платформе CSSC рекомендует каталог золотых образов , чтобы внутренние команды могли легко обнаруживать и использовать утвержденные образы, необходимые корпоративным приложениям и службам. Он также постоянно добавляет изображения на этапе приобретения на основе внутреннего использования команды.

Свести к минимуму риск возникновения ошибок безопасности

Образы контейнеров в каталоге могут стать устаревшими или невредимыми, что повышает риск непреднамеренного использования образов, которые могут привести к уязвимостям безопасности и вредоносным программам в корпоративных приложениях.

Чтобы устранить этот риск, этап каталога в платформе CSSC рекомендует непрерывно сканировать образы контейнеров для уязвимостей и вредоносных программ и создавать отчеты в стандартных форматах. Это позволяет проверять отчеты перед использованием на последующих этапах цепочки поставок программного обеспечения.

Корпорация Майкрософт предлагает набор средств и служб, которые помогут предприятиям реализовать рекомендуемые шаги в рабочем процессе этапа каталога и решить указанные выше цели безопасности.

Службы размещения образов контейнеров

Реестр контейнеров Azure (ACR) — это управляемый, совместимый с OCI реестр, который поддерживает распространение образов контейнеров и других облачных артефактов. ACR соответствует последним спецификациям OCI и может использоваться для хранения артефактов цепочки поставок.

Средства для сканирования уязвимостей

Microsoft Defender для облака — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных рабочих нагрузок. Microsoft Defender для облака предлагает средства оценки уязвимостей и управления изображениями, хранящимися в Реестр контейнеров Azure.

Средства обеспечения подлинности изображений

Нотарий проект — это проект CNCF, поддерживаемый корпорацией Майкрософт, который разрабатывает спецификации и средства для подписывания и проверки артефактов программного обеспечения. Инструмент нотарии Project notation можно использовать для подписи образов контейнеров и других облачных артефактов с корпоративными ключами.

Следующие шаги

Общие сведения о этапе сборки для безопасного создания образов контейнеров.