Compartilhar via

Visão geral do estágio Catálogo

  • Artigo

A construção de um catálogo de imagens de contêineres para uso interno é o segundo estágio da cadeia de suprimentos para contêineres. As imagens de contêiner que passam por determinadas verificações de qualidade do estágio Adquirir são hospedadas em um registro interno. É essencial catalogar imagens de contêiner para que as equipes internas possam descobrir e consumir facilmente imagens aprovadas exigidas por aplicativos e serviços corporativos. Além disso, as imagens de contêiner em um catálogo são continuamente verificadas em busca de vulnerabilidades e malware regularmente para garantir que atendam aos requisitos de segurança mais recentes.

A estrutura CSSC (Containers Secure Supply Chain) da Microsoft identifica a necessidade de catalogar imagens de contêiner e fornece um conjunto de práticas recomendadas e ferramentas para ajudá-lo a hospedar imagens de contêiner com segurança em um catálogo. Neste artigo, você aprenderá sobre os objetivos, as práticas recomendadas e as ferramentas que podem ser usadas para o estágio Catálogo da estrutura CSSC.

Tela de fundo

Atualmente, as empresas usam várias abordagens para gerenciar imagens de contêiner. É um desafio para os engenheiros descobrir imagens de contêiner disponíveis, entendendo a postura de segurança e as restrições de nível de acesso dentro da empresa. Algumas empresas criam seu próprio portal sobre o registro para ajudar os engenheiros a descobrir imagens de contêiner disponíveis. Além disso, algumas empresas impõem restrições e políticas de firewall para impedir que os engenheiros usem imagens de contêiner diretamente de registros externos.

O estágio Catálogo da estrutura CSSC recomenda um conjunto de etapas e controles de segurança que devem ser implementados para garantir que as imagens de contêiner sejam detectáveis e monitoradas continuamente para garantir a segurança.

A Microsoft recomenda que as equipes internas usem imagens de contêiner de um catálogo interno sempre que possível. Caso as empresas não consigam fazer isso, recomendamos as seguintes práticas para o catálogo de imagens de contêiner.

  • Cataloge imagens douradas para permitir que as equipes internas descubram e consumam facilmente imagens aprovadas exigidas por aplicativos e serviços corporativos.
  • Analise continuamente imagens de contêiner em busca de vulnerabilidades e malware, gere relatórios e assine relatórios para garantir autenticidade e integridade.
  • Monitore o ciclo de vida das imagens do catálogo e retire as imagens que estão fora de suporte.

Fluxo de trabalho para catálogo de imagens de contêiner

A estrutura CSSC recomenda o seguinte fluxo de trabalho para catalogar imagens de contêiner, ajudar a garantir a segurança de imagens de contêiner, registros internos e ajudar a aceitar imagens de contêiner para uso interno. O fluxo de trabalho para catálogo de imagens de contêiner faz o seguinte:

  1. Hospeda as imagens de contêiner que passam por verificações de qualidade e metadados relevantes em um registro de preparo interno.
  2. Cataloge imagens de contêiner para permitir que equipes internas descubram e consumam facilmente imagens aprovadas exigidas por aplicativos e serviços corporativos.
  3. Agende varreduras de vulnerabilidades e malware em uma cadência regular e gere relatórios de vulnerabilidade e malware.
  4. Assina os relatórios com chaves corporativas para garantir a integridade e fornecer um selo confiável de aprovação para uso interno.
  5. Monitore o ciclo de vida das imagens de contêiner no catálogo e desative as imagens que estão fora de suporte.

Metas de segurança no estágio Catálogo

Ter um fluxo de trabalho bem definido para o catálogo de imagens de contêineres ajuda as empresas a aumentar sua segurança e reduzir a superfície de ataque em sua cadeia de suprimentos para contêineres. O estágio Catálogo da estrutura CSSC destina-se a atender às seguintes metas de segurança.

Reduzir a superfície de ataque devido a dependências externas

Se as imagens de contêiner não estiverem disponíveis ou forem difíceis de encontrar, as equipes internas podem optar por usar imagens de contêiner diretamente de registros externos, o que as expõe a ataques como imagens de contêiner maliciosas.

Para lidar com esse risco, o estágio Catálogo na estrutura CSSC recomenda imagens douradas de catálogo para permitir que as equipes internas descubram e consumam facilmente imagens aprovadas exigidas por aplicativos e serviços corporativos. Ele também adiciona continuamente imagens do estágio Adquirir com base no uso da equipe interna.

Minimizar o risco de introdução de falhas de segurança

As imagens de contêiner em um catálogo podem ficar desatualizadas ou sem patch, o que aumenta o risco de usar inadvertidamente imagens que podem introduzir vulnerabilidades de segurança e malware em aplicativos corporativos.

Para lidar com esse risco, o estágio Catálogo na estrutura CSSC recomenda a verificação contínua de imagens de contêiner em busca de vulnerabilidades e malware e a geração de relatórios em formatos padrão. Isso permite a validação de relatórios antes do uso em etapas subsequentes da cadeia de suprimentos de software.

A Microsoft oferece um conjunto de ferramentas e serviços que podem ajudar as empresas a implementar as etapas recomendadas no fluxo de trabalho do estágio Catálogo e atender às metas de segurança listadas acima.

Serviços para hospedagem de imagens de contêiner

O Registro de Contêiner do Azure (ACR) é um registro gerenciado compatível com OCI que oferece suporte à distribuição de imagens de contêiner e outros artefatos nativos da nuvem. O ACR está em conformidade com as especificações OCI mais recentes e pode ser usado para armazenar artefatos da cadeia de suprimentos.

Ferramentas para varredura de vulnerabilidades

O Microsoft Defender for Cloud é a solução nativa da nuvem para melhorar, monitorar e manter a segurança de suas cargas de trabalho em contêineres. O Microsoft Defender for Cloud oferece ferramentas de avaliação e gerenciamento de vulnerabilidades para imagens armazenadas no Registro de Contêiner do Azure.

Ferramentas para garantir a autenticidade das imagens

Notary Project é um projeto CNCF apoiado pela Microsoft que desenvolve especificações e ferramentas para assinar e verificar artefatos de software. A ferramenta do notation Notary Project pode ser usada para assinar imagens de contêiner e outros artefatos nativos da nuvem com chaves corporativas.

Próximas etapas

Consulte a visão geral do estágio de compilação para criar imagens de contêiner com segurança.