Поделиться через

Обзор этапа развертывания

  • Статья

Этап развертывания — это четвертый этап платформы "Безопасная цепочка поставок контейнеров" (CSSC). Предприятия могут развертывать образы контейнеров в среде размещения для запуска контейнерных рабочих нагрузок без проверки безопасности и соответствия этим образам контейнеров. Это повышает потенциальные риски безопасности или может привести к запуску уязвимого или вредоносного кода в среде размещения. Метаданные образа контейнера и аттестации, созданные на предыдущих этапах, должны быть проверены во время развертывания. Это гарантирует, что развертывание соответствует корпоративным политикам безопасности и соответствия требованиям.

Платформа безопасной цепочки поставок (CSSC) в контейнерах Майкрософт определяет необходимость развертывания образов соответствующим образом. Платформа CSSC рекомендует набор стандартных методик и средств для безопасного развертывания образов, проверяя метаданные изображения и реализуя политику соответствия требованиям. В этой статье описаны цели, стандартные методики и инструменты, которые можно использовать на этапе развертывания платформы CSSC.

Общие сведения

Предприятия могут развертывать образы контейнеров непосредственно из внешних или внутренних реестров, не проверяя, что образы контейнеров свободны от уязвимостей и утверждены для использования. Развертывание ненадежных и несоответствующих образов контейнеров в среде размещения повышает потенциальные риски безопасности или выполнение вредоносных программ или уязвимого кода в среде размещения.

Методики платформы CSSC помогают гарантировать, что образы контейнеров, готовые к развертыванию, относятся к доверенным реестрам, без уязвимостей и вредоносных программ, а также обеспечивают подлинность и целостность. Многие предприятия реализуют политики для проверки SBOM и подписей образов контейнеров перед развертыванием их в Kubernetes и непрерывного сканирования образов контейнеров для проверки отчетов.

На этапе развертывания мы сосредоточимся на защите образа контейнера и среды развертывания. Развертывания используют подпись образа контейнера, метаданные жизненного цикла, отчеты об уязвимостях и вредоносных программах, SBOM и данные о происхождении, созданные на этапе сборки для проверки, чтобы убедиться, что образы контейнеров являются доверенными и совместимыми перед развертыванием в среде размещения.

Рабочий процесс развертывания образов контейнеров

Этап развертывания имеет рабочий процесс для развертывания образа контейнера в нескольких сотнях или тысячах кластеров по всему миру. Развертывания могут выполняться динамически и по требованию. После создания, проверки и подписывания образов контейнеров платформа CSSC продвигает образы контейнеров и соответствующие артефакты доступны для распространения между реестрами на этапе развертывания.

  1. Реализуйте политику целостности изображений, чтобы проверить подписи образов перед развертыванием, чтобы убедиться, что они не были изменены и получены от доверенных издателей.
  2. Реализуйте политику сканирования уязвимостей, чтобы сканировать образы контейнеров для уязвимостей, устанавливать пороговые значения на основе уровней серьезности (КРИТИЧЕСКИ ВАЖНЫЙ, ВЫСОКИЙ, СРЕДНИЙ, НИЗКИЙ) и развертывать только соответствующие образы.
  3. Реализуйте политику соответствия лицензий для принудительного применения ограничений на развертывание образов контейнеров с нежелательными лицензиями.
  4. Реализуйте политику прованса, чтобы убедиться, что образы контейнеров получены из доверенных источников и репозиториев перед развертыванием.
  5. Реализуйте политику жизненного цикла образов, чтобы гарантировать, что развернутые образы находятся в поддержке и допустимы, ограничивая развертывание образов после окончания срока действия и завершения поддержки.
  6. Создавайте и подписывать отчеты об уязвимостях и вредоносных программах для каждого образа, чтобы предотвратить изменение и защитить их целостность.
  7. Подключите подписанные отчеты к образам контейнеров для проверки видимости и соответствия требованиям во время развертывания.
  8. Проверьте метаданные образа контейнера, включая SBOMs, подписи изображений, отчеты об уязвимостях, метаданные жизненного цикла и данные о происхождении.
  9. Реализуйте механизмы контроля допуска для применения политик развертывания и ограничения развертывания образов контейнеров, не соответствующих требованиям.
  10. Автоматизация процессов развертывания с помощью конвейеров CI/CD, интеграция проверка проверки и проверки образа.
  11. Непрерывно отслеживайте развернутые образы и применяйте соответствие требованиям для обнаружения новых уязвимостей, отклонений соответствия требованиям и принятия необходимых действий по исправлению.
  12. Ведение журнала действий по развертыванию и проведение регулярных аудитов, чтобы обеспечить соблюдение стандартов безопасности и соответствия требованиям.
  13. Реализуйте автоматизированные или вручную процедуры исправления для устранения инцидентов безопасности или отклонений соответствия требованиям.
  14. Задокументируйте процесс развертывания, включая шаги, используемые средства и любые меры безопасности, реализованные для будущих ссылок и аудита.

Корпорация Майкрософт рекомендует проверять метаданные образа во время развертывания и развертывать только образы контейнеров из доверенных реестров. Для защиты облачных рабочих нагрузок рекомендуется использовать следующие методики.

  • Применение политик развертывания, которые проверяют метаданные и ограничивают несоответствующие образы контейнеров. Это предотвращает развертывание неутвержденных образов.
  • Применение политик развертывания, которые проверяют подписи образов перед развертыванием образов. Это гарантирует, что образы, используемые для развертывания, относятся к доверенному издателю и не были изменены.
  • Применение политик развертывания на основе оценки уязвимостей. Это предотвращает развертывание образов с уязвимостями выше определенного порогового значения (КРИТИЧЕСКОЕ, ВЫСОКОЕ, СРЕДНЕЕ, НИЗКОЕ).
  • Принудительно применяйте политики развертывания, которые проверяют сведения о жизненном цикле, чтобы убедиться, что образы завершения поддержки не будут использоваться в развертывании.
  • Убедитесь, что среда развертывания и платформа имеют безопасное сетевое подключение.
  • Требовать строгих разрешений проверки подлинности, управления доступом и файлов, чтобы запретить несанкционированный доступ к платформе развертывания. Это позволяет избежать утечки учетных данных или несанкционированных изменений.
  • Автоматизация процесса проверки в конвейере CI/CD.

Цели безопасности на этапе развертывания

Наличие четко определенного рабочего процесса для развертывания образов помогает предприятиям повысить безопасность и уменьшить область атаки в цепочке поставок для контейнеров. Этап развертывания платформы CSSC предназначен для удовлетворения следующих целей безопасности.

Развертывание образов из надежных и совместимых источников

Политики безопасности должны быть реализованы на этапе развертывания, чтобы убедиться, что образы контейнеров находятся из доверенных источников и не будут изменены. Целостность и подлинность можно проверить, проверив подписи образов контейнеров перед развертыванием.

Реализация политик безопасности контроля допуска

Политики безопасности должны быть реализованы на этапе развертывания, чтобы убедиться, что образы контейнеров соответствуют требованиям. Это достигается путем проверки образов контейнеров в соответствии со следующими метаданными безопасности: отчеты об уязвимостях и вредоносных программах, подпись образа, SBOMs, метаданные жизненного цикла образа и метаданные проверки подлинности.

Средства и службы для проверки метаданных изображения и принудительной проверки политики

Утверждение является проектом с открытым исходным кодом, который позволяет кластерам Kubernetes проверять метаданные безопасности до развертывания и принимать только образы, соответствующие политике допуска. Рекомендуется настроить 2000 и воротвратник, чтобы разрешить запуск только доверенных и совместимых образов контейнеров в кластерах Kubernetes.

Gatekeeper — это проект с открытым исходным кодом и CNCF, который предоставляет динамический контроллер допуска и подсистему политики для определения, принудительного применения и аудита политик в кластерах Kubernetes стандартизированным образом.

Политика Azure расширяет вратарь, позволяя встроенным политикам применяться к кластерам Служба Azure Kubernetes для аудита или блокировки развертываний, ссылающихся на образы контейнеров из внешних реестров или ненадежных источников.

Средства для присоединения метаданных изображения

ORAS — это проект CNCF, который предоставляет способ хранения артефактов и управления ими в реестрах, совместимых с OCI. ORAS позволяет хранить и управлять любым типом артефакта, включая образы контейнеров, метаданные изображения и многое другое в реестре, совместимом с OCI. Он также предоставляет набор средств командной строки, которые упрощают взаимодействие с реестрами, совместимыми с OCI. Мы рекомендуем использовать ORAS для отправки созданных отчетов об уязвимостях и вредоносных программах, SBOM, метаданных жизненного цикла образов и метаданных на стороне связанного образа в реестр.

Средства для подписывания и проверки образов контейнеров и метаданных

Нотарий проект — это проект с открытым исходным кодом, содержащий набор спецификаций и инструментов, предназначенных для обеспечения межиндустрионных стандартов для защиты цепочек поставок программного обеспечения с помощью подписи и проверки, переносимости подписей и управления ключами и сертификатами. Нотация — это средство цепочки поставок, разработанное сообществом нотаричного проекта, которое поддерживает подписание и проверку артефактов в реестрах, совместимых с Open Container Initiative (OCI), что обеспечивает переносимость подписей и взаимодействие. Она также обеспечивает интеграцию с сторонними решениями по управлению ключами через модель подключаемого модуля, обеспечивая расширяемость. Мы рекомендуем использовать средства нотаричного проекта для подписывания образов и метаданных контейнеров, чтобы обеспечить подлинность и отсутствие изменения.

Следующие шаги

Обзор этапа запуска для безопасного развертывания образов контейнеров.