Assinar imagens de contêiner com Notação e Azure Key Vault usando um certificado emitido pela CA
Assinar e verificar imagens de contêiner com um certificado emitido por uma Autoridade de Certificação (CA) confiável é uma prática de segurança valiosa. Essa medida de segurança ajudará você a identificar, autorizar e validar de forma responsável a identidade do editor da imagem do contêiner e da própria imagem do contêiner. As Autoridades de Certificação (CAs) Confiáveis, como GlobalSign, DigiCert e outras, desempenham um papel crucial na validação da identidade de um usuário ou organização, mantendo a segurança dos certificados digitais e revogando o certificado imediatamente após qualquer risco ou uso indevido.
Aqui estão alguns componentes essenciais que ajudam você a assinar e verificar imagens de contêiner com um certificado emitido por uma autoridade de certificação confiável:
- O Notation é uma ferramenta de segurança da cadeia de suprimentos de código aberto desenvolvida pela comunidade Notary Project e apoiada pela Microsoft, que suporta a assinatura e verificação de imagens de contêiner e outros artefatos.
- O Azure Key Vault (AKV), um serviço baseado na nuvem para gerenciar chaves criptográficas, segredos e certificados, ajudará você a garantir o armazenamento e o gerenciamento seguros de um certificado com uma chave de assinatura.
- O plug-in Notation AKV azure-kv, a extensão da Notação, usa as chaves armazenadas no Cofre de Chaves do Azure para assinar e verificar as assinaturas digitais de imagens de contêiner e artefatos.
- O Azure Container Registry (ACR) permite anexar essas assinaturas à imagem assinada e ajuda você a armazenar e gerenciar essas imagens de contêiner.
Quando você verifica a imagem, a assinatura é usada para validar a integridade da imagem e a identidade do signatário. Isso ajuda a garantir que as imagens de contêiner não sejam adulteradas e sejam de uma fonte confiável.
Neste artigo:
- Instale a CLI de notação e o plug-in AKV
- Criar ou importar um certificado emitido por uma autoridade de certificação no AKV
- Criar e enviar por push uma imagem de contêiner com a tarefa ACR
- Assinar uma imagem de contentor com a CLI de Notação e o plug-in do AKV
- Verificar uma assinatura de imagem de contêiner com a CLI de notação
- Carimbo de data/hora
- Criar ou usar um Registro de Contêiner do Azure para armazenar imagens e assinaturas de contêiner
- Crie ou use um Cofre da Chave do Azure.
- Instalar e configurar a CLI do Azure mais recente ou executar comandos no Azure Cloud Shell
Nota
Recomendamos a criação de um novo Cofre da Chave do Azure apenas para armazenar certificados.
Instale o Notation v1.2.0 em um ambiente Linux amd64. Siga o guia de instalação do Notation para baixar o pacote para outros ambientes.
# Download, extract and install curl -Lo notation.tar.gz https://github.com/notaryproject/notation/releases/download/v1.2.0/notation_1.2.0_linux_amd64.tar.gz tar xvzf notation.tar.gz # Copy the notation cli to the desired bin directory in your PATH, for example cp ./notation /usr/local/bin
Instale o plug-in
azure-kv
Notation Azure Key Vault v1.2.0 em um ambiente Linux amd64.Nota
A URL e a soma de verificação SHA256 para o plug-in Notation Azure Key Vault podem ser encontradas na página de lançamento do plug-in.
notation plugin install --url https://github.com/Azure/notation-azure-kv/releases/download/v1.2.0/notation-azure-kv_1.2.0_linux_amd64.tar.gz --sha256sum 06bb5198af31ce11b08c4557ae4c2cbfb09878dfa6b637b7407ebc2d57b87b34
Liste os plugins disponíveis e confirme se o plugin com versão
azure-kv
1.2.0
está incluído na lista.notation plugin ls
Nota
Este guia usa variáveis de ambiente para conveniência ao configurar o AKV e o ACR. Atualize os valores dessas variáveis de ambiente para seus recursos específicos.
Configurar variáveis de ambiente para AKV e certificados
AKV_SUB_ID=myAkvSubscriptionId AKV_RG=myAkvResourceGroup AKV_NAME=myakv # Name of the certificate created or imported in AKV CERT_NAME=wabbit-networks-io # X.509 certificate subject CERT_SUBJECT="CN=wabbit-networks.io,O=Notation,L=Seattle,ST=WA,C=US"
Configure variáveis de ambiente para ACR e imagens.
ACR_SUB_ID=myAcrSubscriptionId ACR_RG=myAcrResourceGroup # Name of the existing registry example: myregistry.azurecr.io ACR_NAME=myregistry # Existing full domain of the ACR REGISTRY=$ACR_NAME.azurecr.io # Container name inside ACR where image will be stored REPO=net-monitor TAG=v1 # Source code directory containing Dockerfile to build IMAGE_SOURCE=https://github.com/wabbit-networks/net-monitor.git#main
az login
Para saber mais sobre a CLI do Azure e como entrar com ela, consulte Entrar com a CLI do Azure.
Ao criar certificados para assinatura e verificação, os certificados devem atender ao requisito de certificado do Projeto Notarial.
Aqui estão os requisitos para certificados raiz e intermediários:
- A
basicConstraints
extensão deve estar presente e marcada como crítica. OCA
campo deve ser definidotrue
. - A
keyUsage
extensão deve estar presente e marcadacritical
. As posições de bit parakeyCertSign
MUST devem ser definidas.
Aqui estão os requisitos para certificados emitidos por uma autoridade de certificação:
- Propriedades do certificado X.509:
- O assunto deve conter nome comum (
CN
), país (C
), estado ou província (ST
) e organização (O
). Neste tutorial,$CERT_SUBJECT
é usado como assunto. - O sinalizador de uso de chave X.509 deve ser
DigitalSignature
apenas. - Os usos estendidos de chave (EKUs) devem estar vazios ou
1.3.6.1.5.5.7.3.3
(para codesign).
- O assunto deve conter nome comum (
- Principais propriedades:
- A
exportable
propriedade deve ser definida comofalse
. - Selecione um tipo e tamanho de chave suportados na especificação do Projeto Notarial.
- A
Importante
Para garantir uma integração bem-sucedida com o Image Integrity, o tipo de conteúdo do certificado deve ser definido como PEM.
Nota
Este guia usa a versão 1.0.1 do plugin AKV. As versões anteriores do plug-in tinham uma limitação que exigia uma ordem de certificado específica em uma cadeia de certificados. A versão 1.0.1 do plugin não tem essa limitação, por isso é recomendável que você use a versão 1.0.1 ou posterior.
Crie uma solicitação de assinatura de certificado (CSR) seguindo as instruções em criar solicitação de assinatura de certificado.
Importante
Ao mesclar o CSR, certifique-se de mesclar toda a cadeia que trouxe de volta do fornecedor da autoridade de certificação.
Para importar o certificado:
- Obtenha o arquivo de certificado do fornecedor da autoridade de certificação com toda a cadeia de certificados.
- Importe o certificado para o Cofre da Chave do Azure seguindo as instruções em Importar um certificado.
Nota
Se o certificado não contiver uma cadeia de certificados após a criação ou importação, você poderá obter os certificados intermediários e raiz do fornecedor da autoridade de certificação. Você pode pedir ao seu fornecedor para fornecer um arquivo PEM que contenha os certificados intermediários (se houver) e o certificado raiz. Esse arquivo pode ser usado na etapa 5 de assinatura de imagens de contêiner.
Ao trabalhar com ACR e AKV, é essencial conceder as permissões apropriadas para garantir acesso seguro e controlado. Você pode autorizar o acesso para diferentes entidades, como entidades de usuário, entidades de serviço ou identidades gerenciadas, dependendo de seus cenários específicos. Neste tutorial, o acesso é autorizado a um usuário do Azure conectado.
As AcrPull
funções e AcrPush
são necessárias para criar e assinar imagens de contêiner no ACR.
Definir a assinatura que contém o recurso ACR
az account set --subscription $ACR_SUB_ID
Atribuir as funções
USER_ID=$(az ad signed-in-user show --query id -o tsv) az role assignment create --role "AcrPull" --role "AcrPush" --assignee $USER_ID --scope "/subscriptions/$ACR_SUB_ID/resourceGroups/$ACR_RG/providers/Microsoft.ContainerRegistry/registries/$ACR_NAME"
Autentique-se em seu ACR usando sua identidade individual do Azure.
az acr login --name $ACR_NAME
Importante
Se você tiver o Docker instalado em seu sistema e usado az acr login
ou docker login
para autenticar em seu ACR, suas credenciais já estão armazenadas e disponíveis para notação. Nesse caso, você não precisa executar notation login
novamente para autenticar no seu ACR. Para saber mais sobre as opções de autenticação para notação, consulte Autenticar com registros compatíveis com OCI.
Crie e envie uma nova imagem com as Tarefas ACR.
digest
Use sempre para identificar a imagem para assinatura, já que as tags são mutáveis e podem ser substituídas.DIGEST=$(az acr build -r $ACR_NAME -t $REGISTRY/${REPO}:$TAG $IMAGE_SOURCE --no-logs --query "outputImages[0].digest" -o tsv) IMAGE=$REGISTRY/${REPO}@$DIGEST
Neste tutorial, se a imagem já tiver sido criada e estiver armazenada no Registro, a tag servirá como um identificador para essa imagem por conveniência.
IMAGE=$REGISTRY/${REPO}@$TAG
Definir a subscrição que contém o recurso AKV
az account set --subscription $AKV_SUB_ID
Atribuir as funções
Se o certificado contiver toda a cadeia de certificados, a entidade de segurança deverá ser atribuída com as seguintes funções:
Key Vault Secrets User
para ler segredosKey Vault Certificates User
para leitura de certificadosKey Vault Crypto User
para operações de assinatura
USER_ID=$(az ad signed-in-user show --query id -o tsv) az role assignment create --role "Key Vault Secrets User" --role "Key Vault Certificates User" --role "Key Vault Crypto User" --assignee $USER_ID --scope "/subscriptions/$AKV_SUB_ID/resourceGroups/$AKV_RG/providers/Microsoft.KeyVault/vaults/$AKV_NAME"
Se o certificado não contiver a cadeia, a entidade de segurança deverá ser atribuída com as seguintes funções:
Key Vault Certificates User
para leitura de certificadosKey Vault Crypto User
para operações de assinatura
USER_ID=$(az ad signed-in-user show --query id -o tsv) az role assignment create --role "Key Vault Certificates User" --role "Key Vault Crypto User" --assignee $USER_ID --scope "/subscriptions/$AKV_SUB_ID/resourceGroups/$AKV_RG/providers/Microsoft.KeyVault/vaults/$AKV_NAME"
Para saber mais sobre o acesso ao Cofre da Chave com o RBAC do Azure, consulte Usar um RBAC do Azure para gerenciar o acesso.
Para definir a assinatura que contém os recursos AKV, execute o seguinte comando:
az account set --subscription $AKV_SUB_ID
Se o certificado contiver toda a cadeia de certificados, a entidade de segurança deverá receber permissão Sign
de chave, permissão Get
secreta e permissões Get
de certificado. Para conceder essas permissões à entidade de segurança:
USER_ID=$(az ad signed-in-user show --query id -o tsv)
az keyvault set-policy -n $AKV_NAME --key-permissions sign --secret-permissions get --certificate-permissions get --object-id $USER_ID
Se o certificado não contiver a cadeia, a entidade de segurança deverá receber permissão Sign
de chave e permissões Get
de certificado. Para conceder essas permissões à entidade de segurança:
USER_ID=$(az ad signed-in-user show --query id -o tsv)
az keyvault set-policy -n $AKV_NAME --key-permissions sign --certificate-permissions get --object-id $USER_ID
Para saber mais sobre como atribuir política a uma entidade de segurança, consulte Atribuir política de acesso.
Obtenha o ID da chave para um certificado. Um certificado no AKV pode ter várias versões, o comando a seguir obtém o ID da chave para a versão mais recente do
$CERT_NAME
certificado.KEY_ID=$(az keyvault certificate show -n $CERT_NAME --vault-name $AKV_NAME --query 'kid' -o tsv)
Assine a imagem do contêiner com o formato de assinatura COSE usando o ID da chave.
Se o certificado contiver toda a cadeia de certificados, execute o seguinte comando:
notation sign --signature-format cose $IMAGE --id $KEY_ID --plugin azure-kv
Se o certificado não contiver a cadeia, use o
--plugin-config ca_certs=<ca_bundle_file>
parâmetro para passar os certificados CA em um arquivo PEM para o plug-in AKV, execute o seguinte comando:notation sign --signature-format cose $IMAGE --id $KEY_ID --plugin azure-kv --plugin-config ca_certs=<ca_bundle_file>
Para autenticar com AKV, por padrão, os seguintes tipos de credenciais, se ativados, serão testados na ordem:
- Credencial de ambiente
- Credencial de identidade da carga de trabalho
- Credencial de identidade gerenciada
- Credencial da CLI do Azure
Se você quiser especificar um tipo de credencial, use uma configuração de plug-in adicional chamada
credential_type
. Por exemplo, você pode definircredential_type
explicitamente paraazurecli
usar a credencial da CLI do Azure, conforme demonstrado abaixo:notation sign --signature-format cose --id $KEY_ID --plugin azure-kv --plugin-config credential_type=azurecli $IMAGE
Consulte a tabela abaixo para obter os valores de para vários tipos de
credential_type
credenciais.Tipo de credencial Valor para credential_type
Credencial de ambiente environment
Credencial de identidade da carga de trabalho workloadid
Credencial de identidade gerenciada managedid
Credencial da CLI do Azure azurecli
Veja o gráfico de imagens assinadas e assinaturas associadas.
notation ls $IMAGE
No exemplo de saída a seguir, uma assinatura do tipo
application/vnd.cncf.notary.signature
identificada por digestsha256:d7258166ca820f5ab7190247663464f2dcb149df4d1b6c4943dcaac59157de8e
está associada ao$IMAGE
.myregistry.azurecr.io/net-monitor@sha256:17cc5dd7dfb8739e19e33e43680e43071f07497ed716814f3ac80bd4aac1b58f └── application/vnd.cncf.notary.signature └── sha256:d7258166ca820f5ab7190247663464f2dcb149df4d1b6c4943dcaac59157de8e
Adicione o certificado raiz a um armazenamento confiável nomeado para verificação de assinatura. Se você não tiver o certificado raiz, poderá obtê-lo da sua autoridade de certificação. O exemplo a seguir adiciona o certificado
$ROOT_CERT
raiz ao$STORE_NAME
armazenamento confiável.STORE_TYPE="ca" STORE_NAME="wabbit-networks.io" notation cert add --type $STORE_TYPE --store $STORE_NAME $ROOT_CERT
Liste o certificado raiz para confirmar que o
$ROOT_CERT
foi adicionado com êxito.notation cert ls
Configure a política de confiança antes da verificação.
As políticas de confiança permitem que os usuários especifiquem políticas de verificação ajustadas. Use o comando a seguir para configurar a política de confiança.
cat <<EOF > ./trustpolicy.json { "version": "1.0", "trustPolicies": [ { "name": "wabbit-networks-images", "registryScopes": [ "$REGISTRY/$REPO" ], "signatureVerification": { "level" : "strict" }, "trustStores": [ "$STORE_TYPE:$STORE_NAME" ], "trustedIdentities": [ "x509.subject: $CERT_SUBJECT" ] } ] } EOF
O arquivo acima
trustpolicy.json
define uma política de confiança chamadawabbit-networks-images
. Esta política de confiança aplica-se a todos os artefactos armazenados nos$REGISTRY/$REPO
repositórios. O armazenamento$STORE_NAME
de confiança nomeado do tipo$STORE_TYPE
contém os certificados raiz. Ele também assume que o usuário confia em uma identidade específica com o assunto$CERT_SUBJECT
X.509. Para obter mais detalhes, consulte Armazenamento confiável e especificação de política de confiança.Use
notation policy
para importar a configuração da política de confiança dotrustpolicy.json
.notation policy import ./trustpolicy.json
Mostrar a configuração da política de confiança para confirmar sua importação bem-sucedida.
notation policy show
Use
notation verify
para verificar a integridade da imagem:notation verify $IMAGE
Após a verificação bem-sucedida da imagem usando a política de confiança, o resumo sha256 da imagem verificada é retornado em uma mensagem de saída bem-sucedida. Um exemplo de saída:
Successfully verified signature for myregistry.azurecr.io/net-monitor@sha256:17cc5dd7dfb8739e19e33e43680e43071f07497ed716814f3ac80bd4aac1b58f
Desde o lançamento do Notation v1.2.0, o Notation suporta carimbo de data/hora compatível com RFC 3161 . Esse aprimoramento amplia a confiança das assinaturas criadas dentro do período de validade do certificado confiando em uma Autoridade de Carimbo de Data/Hora (TSA), permitindo a verificação bem-sucedida da assinatura mesmo depois que os certificados expirarem. Como signatário de imagem, você deve garantir que assina imagens de contêiner com carimbos de data/hora gerados por um TSA confiável. Como verificador de imagem, para verificar carimbos de data/hora, você deve garantir que confia no signatário da imagem e no TSA associado e estabelecer confiança por meio de armazenamentos de confiança e políticas de confiança. O carimbo de data/hora reduz os custos, eliminando a necessidade de assinar imagens novamente periodicamente devido à expiração do certificado, o que é especialmente crítico ao usar certificados de curta duração. Para obter instruções detalhadas sobre como assinar e verificar usando o carimbo de data/hora, consulte o guia de carimbo de data/hora do Projeto Notarial.
O que devo fazer se o certificado expirar?
Se o certificado tiver expirado, você precisará obter um novo de um fornecedor de CA confiável junto com uma nova chave privada. Um certificado expirado não pode ser usado para assinar imagens de contêiner. Para imagens que foram assinadas antes do certificado expirar, elas ainda podem ser validadas com êxito se tiverem sido assinadas com carimbo de data/hora. Sem carimbo de data/hora, a verificação de assinatura falhará e você precisará assinar novamente essas imagens com o novo certificado para uma verificação bem-sucedida.
O que devo fazer se o certificado for revogado?
Se o certificado for revogado, a assinatura será invalidada. Isso pode acontecer por vários motivos, como a chave privada ser comprometida ou alterações na afiliação do titular do certificado. Para resolver esse problema, você deve primeiro garantir que seu código-fonte e ambiente de compilação estejam atualizados e seguros. Em seguida, crie imagens de contêiner a partir do código-fonte, obtenha um novo certificado de um fornecedor de CA confiável junto com uma nova chave privada e assine novas imagens de contêiner com o novo certificado seguindo este guia.
A Notation também fornece soluções de CI/CD no Pipeline do Azure e no Fluxo de Trabalho de Ações do GitHub:
- Assinar e verificar uma imagem de contêiner com Notação no Pipeline do Azure
- Assinar e verificar uma imagem de contêiner com Notação no fluxo de trabalho de ações do GitHub
Para validar a implantação de imagem assinada no AKS ou Kubernetes: