Udostępnij za pośrednictwem


Omówienie etapu wykazu

Tworzenie wykazu obrazów kontenerów do użytku wewnętrznego to drugi etap łańcucha dostaw dla kontenerów. Obrazy kontenerów, które przechodzą pewne kontrole jakości z etapu Pozyskiwanie, są hostowane w rejestrze wewnętrznym. Ważne jest, aby umożliwić zespołom wewnętrznym łatwe odnajdywanie zatwierdzonych obrazów wymaganych przez aplikacje i usługi dla przedsiębiorstw oraz korzystanie z nich. Ponadto obrazy kontenerów w katalogu są stale skanowane pod kątem luk w zabezpieczeniach i złośliwego oprogramowania w celu zapewnienia, że spełniają najnowsze wymagania dotyczące zabezpieczeń.

Platforma Secure Supply Chain (CSSC) firmy Microsoft identyfikuje konieczność katalogowania obrazów kontenerów i udostępnia zestaw najlepszych rozwiązań i narzędzi, które ułatwiają bezpieczne hostowanie obrazów kontenerów w katalogu. W tym artykule znajdziesz informacje na temat celów, najlepszych rozwiązań i narzędzi, których można użyć na etapie Katalogu platformy CSSC.

Tło

Obecnie przedsiębiorstwa używają różnych metod zarządzania obrazami kontenerów. Jest to wyzwanie dla inżynierów w zakresie odnajdywania dostępnych obrazów kontenerów, zrozumienia stanu zabezpieczeń i ograniczeń na poziomie dostępu w przedsiębiorstwie. Niektóre przedsiębiorstwa tworzą własny portal na podstawie rejestru, aby ułatwić inżynierom odnajdywanie dostępnych obrazów kontenerów. Ponadto niektóre przedsiębiorstwa nakładają ograniczenia zapory i zasady, aby ograniczyć inżynierom możliwość używania obrazów kontenerów bezpośrednio z zewnętrznych rejestrów.

Etap katalogu struktury CSSC zaleca zestaw kroków i mechanizmów kontroli zabezpieczeń, które należy zaimplementować, aby zapewnić możliwość odnajdywania i ciągłego monitorowania obrazów kontenerów w celu zapewnienia bezpieczeństwa.

Firma Microsoft zaleca, aby zespoły wewnętrzne używały obrazów kontenerów z wewnętrznego katalogu, gdy jest to możliwe. W przypadku, gdy przedsiębiorstwa nie są w stanie tego zrobić, zalecamy wykonanie następujących praktyk dotyczących wykazu obrazów kontenerów.

  • Wykaz złotych obrazów umożliwiający zespołom wewnętrznym łatwe odnajdywanie zatwierdzonych obrazów wymaganych przez aplikacje i usługi dla przedsiębiorstw oraz korzystanie z nich.
  • Ciągłe skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach i złośliwego oprogramowania, generowanie raportów i podpisywanie raportów w celu zapewnienia autentyczności i integralności.
  • Monitorowanie cyklu życia obrazów katalogowych i wycofywanie obrazów, które nie są obsługiwane.

Przepływ pracy dla wykazu obrazów kontenerów

Struktura CSSC zaleca następujący przepływ pracy do katalogowania obrazów kontenerów, pomaga zapewnić bezpieczeństwo obrazów kontenerów, rejestrów wewnętrznych i pomóc w akceptowaniu obrazów kontenerów do użytku wewnętrznego. Przepływ pracy dla katalogu obrazów kontenerów wykonuje następujące czynności:

  1. Hostuje obrazy kontenerów, które przechodzą testy jakości i odpowiednie metadane w wewnętrznym rejestrze przejściowym.
  2. Obrazy kontenerów wykazu umożliwiające zespołom wewnętrznym łatwe odnajdywanie zatwierdzonych obrazów wymaganych przez aplikacje i usługi dla przedsiębiorstw oraz korzystanie z nich.
  3. Zaplanuj skanowanie luk w zabezpieczeniach i złośliwego oprogramowania w regularnym czasie oraz generuje raporty o lukach w zabezpieczeniach i złośliwym oprogramowaniu.
  4. Podpisuje raporty przy użyciu kluczy przedsiębiorstwa, aby zapewnić integralność i zapewnić zaufaną sygnaturę zatwierdzenia do użytku wewnętrznego.
  5. Monitorowanie cyklu życia obrazów kontenerów w katalogu i wycofywanie obrazów, które nie są obsługiwane.

Cele zabezpieczeń na etapie wykazu

Posiadanie dobrze zdefiniowanego przepływu pracy dla wykazu obrazów kontenerów pomaga przedsiębiorstwom zwiększyć bezpieczeństwo i zmniejszyć obszar ataków w łańcuchu dostaw dla kontenerów. Etap katalogu struktury CSSC jest przeznaczony do spełnienia następujących celów zabezpieczeń.

Zmniejszanie obszaru ataków z powodu zależności zewnętrznych

Jeśli obrazy kontenerów nie są dostępne lub trudne do znalezienia, zespoły wewnętrzne mogą zdecydować się na używanie obrazów kontenerów bezpośrednio z rejestrów zewnętrznych, co naraża je na ataki, takie jak złośliwe obrazy kontenerów.

Aby rozwiązać ten problem, etap Katalogu w strukturze CSSC zaleca katalog złotych obrazów , aby umożliwić zespołom wewnętrznym łatwe odnajdywanie i używanie zatwierdzonych obrazów wymaganych przez aplikacje i usługi dla przedsiębiorstw. Stale dodaje również obrazy z etapu Pozyskiwanie na podstawie wewnętrznego użycia zespołu.

Minimalizowanie ryzyka wprowadzenia luk w zabezpieczeniach

Obrazy kontenerów w katalogu mogą stać się nieaktualne lub niewłaszczone, co zwiększa ryzyko nieumyślnego użycia obrazów, które mogą wprowadzać luki w zabezpieczeniach i złośliwe oprogramowanie do aplikacji dla przedsiębiorstw.

Aby rozwiązać to ryzyko, etap Katalogu w strukturze CSSC zaleca ciągłe skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach i złośliwego oprogramowania oraz generowanie raportów w standardowych formatach. Umożliwia to walidację raportów przed użyciem w kolejnych etapach łańcucha dostaw oprogramowania.

Firma Microsoft oferuje zestaw narzędzi i usług, które mogą pomóc przedsiębiorstwom wdrożyć zalecane kroki w przepływie pracy etapu wykazu i rozwiązać cele zabezpieczeń wymienione powyżej.

Usługi do hostowania obrazów kontenerów

Usługa Azure Container Registry (ACR) to zarządzany rejestr zgodny ze standardem OCI, który obsługuje dystrybucję obrazów kontenerów i innych artefaktów natywnych dla chmury. Usługa ACR jest zgodna z najnowszymi specyfikacjami OCI i może służyć do przechowywania artefaktów łańcucha dostaw.

Narzędzia do skanowania luk w zabezpieczeniach

Microsoft Defender dla Chmury jest rozwiązaniem natywnym dla chmury, które usprawnia, monitoruje i utrzymuje bezpieczeństwo konteneryzowanych obciążeń. Microsoft Defender dla Chmury oferuje narzędzia do oceny luk w zabezpieczeniach i zarządzania obrazami przechowywanymi w usłudze Azure Container Registry.

Narzędzia do zapewniania autentyczności obrazów

Notary Project to oparty na firmie Microsoft projekt CNCF, który opracowuje specyfikacje i narzędzia do podpisywania i weryfikowania artefaktów oprogramowania. Narzędzie Notary Project notation może służyć do podpisywania obrazów kontenerów i innych artefaktów natywnych dla chmury przy użyciu kluczy przedsiębiorstwa.

Następne kroki

Zobacz omówienie etapu kompilacji, aby bezpiecznie tworzyć obrazy kontenerów.