目錄階段概觀
建置容器映像目錄以供內部使用,是容器供應鏈的第二個階段。 從 Acquire 階段傳遞特定質量檢查的容器映像會裝載在內部登錄中。 對容器映像進行類別目錄,讓內部小組可以輕鬆地探索及取用企業應用程式和服務所需的核准映像。 此外,目錄中的容器映像會定期持續掃描弱點和惡意代碼,以確保它們符合最新的安全性需求。
Microsoft 的容器安全供應鏈 (CSSC) 架構可識別目錄容器映射的需求,並提供一組最佳做法和工具,協助您安全地裝載目錄中的容器映像。 在本文中,您將瞭解可用於 CSSC 架構目錄階段的目標、最佳做法和工具。
背景
目前,企業會使用各種方法來管理容器映像。 對於工程師來說,探索可用的容器映射、了解企業內的安全性狀態和存取層級限制是一項挑戰。 有些企業會在登錄之上建置自己的入口網站,以協助工程師探索可用的容器映射。 此外,某些企業會強制執行防火牆限制和原則,以限制工程師直接從外部登錄使用容器映像。
CSSC 架構的目錄階段建議一組應實作的步驟和安全性控件,以確保容器映像能夠持續探索和監視,以確保安全性。
建議做法
Microsoft 建議內部小組盡可能使用來自內部目錄的容器映像。 如果企業無法這樣做,我們建議下列容器映像目錄的做法。
- 目錄 黃金映像 ,可讓內部小組輕鬆地探索及取用企業應用程式和服務所需的核准映像。
- 持續掃描容器映像是否有弱點和惡意代碼、產生報告和簽署報告,以確保真實性和完整性。
- 監視目錄影像的生命週期,並淘汰不支援的影像。
容器映像目錄的工作流程
CSSC 架構建議下列工作流程來編錄容器映像、協助確保容器映射、內部登錄的安全性,以及協助接受容器映射以供內部使用。 容器映像目錄的工作流程會執行下列動作:
- 裝載容器映像,這些映射會通過內部預備登錄中的品質檢查和相關元數據。
- 目錄容器映像,讓內部小組能夠輕鬆地探索及取用企業應用程式和服務所需的核准映像。
- 定期排程弱點和惡意代碼掃描,併產生弱點和惡意代碼報告。
- 使用企業金鑰簽署報告,以確保完整性,並提供受信任的核准戳記以供內部使用。
- 監視目錄中容器映像的生命週期,並淘汰不支援的映像。
目錄階段的安全性目標
為容器映像目錄定義完善的工作流程可協助企業提高其安全性,並減少容器供應鏈上的受攻擊面。 CSSC 架構的目錄階段旨在滿足下列安全性目標。
減少受攻擊面,因為外部相依性
如果容器映像無法使用或難以找到,內部小組可能會選擇直接從外部登錄使用容器映射,這會將它們公開至惡意容器映射之類的攻擊。
為了解決此風險,CSSC 架構中的目錄階段會建議類別目錄 黃金映射 ,讓內部小組能夠輕鬆地探索及取用企業應用程式和服務所需的已核准映像。 其也會根據內部小組使用量,持續新增來自 Acquire 階段的影像。
將引入安全性缺陷的風險降到最低
目錄中的容器映像可能會過時或未修補,這會增加不小心使用可能會對企業應用程式造成安全性弱點和惡意代碼的映射的風險。
為了解決此風險,CSSC 架構中的目錄階段建議持續掃描容器映像是否有弱點和惡意代碼,並以標準格式產生報告。 這允許在軟體供應鏈的後續階段使用之前驗證報告。
建議的工具
Microsoft 提供一組工具和服務,可協助企業在目錄階段工作流程中實作建議的步驟,並解決上面所列的安全性目標。
裝載容器映像的服務
Azure Container Registry (ACR) 是受控且符合 OCI 規範的登錄,可支援散發容器映像和其他雲端原生成品。 ACR 符合最新的 OCI 規格,可用來儲存供應鏈成品。
弱點掃描的工具
適用於雲端的 Microsoft Defender 是雲端原生解決方案,可改善、監視和維護容器化工作負載的安全性。 適用於雲端的 Microsoft Defender 針對儲存在 Azure Container Registry 中的映像提供弱點評定和管理工具。
確保影像真實性的工具
Notary Project 是 Microsoft 支援的NCF 專案,可開發用於簽署和驗證軟體成品的規格和工具。 Notary Project 的工具 notation 可用來使用企業密鑰簽署容器映像和其他雲端原生成品。
下一步
請參閱 建置階段 的概觀,以安全地建置容器映像。