Derleme aşamasına genel bakış
Kapsayıcı görüntüleri derleme, Kapsayıcılar Güvenli Tedarik Zinciri (CSSC) çerçevesinin üçüncü aşamasıdır. Bazı kuruluşlar temel görüntüleri doğrudan dış kaynaklardan çekerken, diğerleri görüntüleri imzalarına ve kanıtlamalarına karşı doğrulamadan iç katalogdan temel görüntüleri çekebilir. Temel görüntülerin her zaman iç katalogdan çekildiğinden ve kullanılmadan önce doğrulandığından emin olmak çok önemlidir. Görüntüleri oluşturduktan sonra, bazı kuruluşlar bunları güvenlik açığı ve kötü amaçlı yazılım taraması olmadan yayımlar ve sonraki tedarik zinciri aşamalarında doğrulanamayan SBOM gibi kanıtlamalar oluşturamaz. Oluşturulan kapsayıcı görüntülerinin kurumsal ilkelerle güvenilir ve uyumlu olduğundan emin olmak önemlidir.
Microsoft'un Kapsayıcılar Güvenli Tedarik Zinciri (CSSC) çerçevesi, kapsayıcı görüntüleri oluşturma gereksinimini tanımlar ve güvenilir ve uyumlu görüntüleri güvenli bir şekilde oluşturmanıza yardımcı olacak bir dizi en iyi yöntem ve araç sağlar. Bu makalede, CSSC çerçevesinin Derleme aşamasında kullanabileceğiniz hedefler, en iyi yöntemler ve araçlar hakkında bilgi edineceksiniz.
Background
Kuruluşlar şu anda uyumlu kapsayıcı görüntülerini güvenli bir şekilde oluşturmak için çeşitli yaklaşımlar kullanmaktadır. Kapsayıcı görüntüleri oluşturmadan önce iç ekiplerin iç altın kayıt defterlerinden temel görüntüleri çekmesi gerekir. Ancak, bu görüntüler kullanımdan önce doğrulanmaz; bu, altın kayıt defterlerinin gizliliğinin tehlikeye atılması ve görüntülerin kötü amaçlı hale gelebilmesi için önerilmez. Kuruluşlar, kaliteyi sağlamak için kapsayıcı görüntülerine eklenen kitaplıkların ve paketlerin kaynağını da denetler.
Kapsayıcı görüntüleri derledikten sonra kuruluşlar, kapsayıcı görüntülerinin uyumlu olduğundan emin olmak için ek meta veriler oluşturur. Bazı kuruluşlar, kapsayıcı görüntüsünün üretilmesinden hangi git işlemesinin sorumlu olduğunu ve yeniden üretilebilir olup olmadığını öğrenmek için SLSA kanıt belgelerinden yararlanır. Diğerleri docker etiketlerini kullanarak kapsayıcı görüntüsünün sahibi ve görüntünün işlenmesinden kimin sorumlu olduğu konusunda kanıtlanmışlık sağlar. Bazı kuruluşlar görüntüyü güvenlik açıkları ve kötü amaçlı yazılımlara karşı tarar ve buna göre raporlar oluşturur.
CSSC çerçevesinin Derleme aşaması, yayımlanmadan önce güvenilir ve uyumlu kapsayıcı görüntüleri üretmek için uygulanması gereken bir dizi adım ve güvenlik denetimi önerir.
Önerilen yöntemler
Microsoft, uyumlu kapsayıcı görüntülerini güvenli bir şekilde oluşturmak için aşağıdaki uygulamaları önerir.
- Saldırı yüzeyini azaltmak ve güvenliği artırmak için yalnızca iç katalogdan temel görüntüleri çekin.
- Kullanılabilir olduğunda, güvenilir ve uyumlu olduklarından emin olmak için kullanmadan önce temel görüntülerin imzalarını ve kanıtlamalarını doğrulayın.
- Distroless görüntüleri , herhangi bir ek yazılım veya işletim sistemi bileşeni olmadan yalnızca uygulamayı ve çalışma zamanı bağımlılıklarını içerir. Saldırı yüzeyini azaltmak ve güvenliği artırmak için temel görüntüler olarak distroless görüntüleri kullanın.
- Yalnızca yetkili kullanıcıların değişiklik veya değişiklik yapabilmesini sağlamak için derleme platformuna veya hizmetine en az ayrıcalık erişimi uygulayarak yetkisiz erişim, veri ihlalleri ve diğer güvenlik olayları riskini azaltır.
- Güvenlik açıklarına giriş riskini azaltmak için derleme sonrasında kapsayıcı görüntülerini güvenlik açıklarına ve kötü amaçlı yazılımlara karşı tarayın.
- Derlemeden sonra kapsayıcı görüntülerini SBOM ve provenance meta verileri gibi ek meta verilerle zenginleştirin.
- Bütünlük sağlamak ve iç kullanım için güvenilir onay damgası sağlamak için derlemeden sonra kapsayıcı görüntülerini ve ilgili meta verileri kurumsal anahtarlarla imzalayın.
- Bilinen güvenlik açıklarını gidermek için kapsayıcı görüntülerini zamanında düzeltme eki uygulama.
- Güvenlik açıklarını ve güvenlik düzeltmelerini takip etmek için bağımlılıkları makul bir şekilde güncel tutun.
Uyumlu kapsayıcı görüntüleri oluşturmaya yönelik iş akışı
Derleme aşamasında, kuruluşlar ve güvenlik ilkeleriyle uyumlu bir kapsayıcı görüntüsü oluşturmak için bir iş akışı vardır. Derleme platformuna veya hizmetine yalnızca yetkili kullanıcılar için ayrıcalık düzeyi erişim denetimi uygulamak çok önemlidir. Temel görüntüler Katalogda kullanılabilir olduğunda, Derleme iş akışı aşağıdakileri yapar:
- Yalnızca iç Katalog'dan temel görüntüleri çekme.
- Güvenilir ve uyumlu olduğundan emin olmak için kullanmadan önce temel görüntüleri doğrulayın.
- Derleme için temel görüntülerin üzerine güven kaynağından ek çerçeveler, uygulama kodu ve/veya yapılandırmalar ekleyin.
- Derleme işlemi sırasında SBOM oluşturun.
- Güvenlik açıklarının kullanıma sunulmasını önlemek için derlemeden sonra ortaya çıkan kapsayıcı görüntüsünü bilinen güvenlik açıkları ve kötü amaçlı yazılımlara karşı tarayın.
- Bilinen güvenlik açıklarını ve kötü amaçlı yazılımları gidermek için sonuçta elde edilen kapsayıcı görüntüsüne düzeltme eki uygulama
- Güvenlik açığı ve kötü amaçlı yazılım raporlarını tedarik zincirinin sonraki aşamalarında kullanmak üzere görüntü kanıtlamaları olarak ekleyin.
- Tedarik zincirinin sonraki aşamalarında kullanmak üzere görüntü kanıtlamaları olarak SBOM ekleyin.
- Elde edilen görüntüyü, tedarik zincirinin sonraki aşamalarında kullanılacak provenance meta verileri gibi ek meta verilerle zenginleştirin.
- Tutarlılığı sağlamak ve Dağıtım aşaması için güvenilir onay damgası sağlamak için elde edilen görüntüyü ve ilgili meta verileri kurumsal anahtarlarla imzalayın
Derleme aşamasında güvenlik hedefleri
Güvenilir ve uyumlu kapsayıcı görüntüleri oluşturmak için iyi tanımlanmış bir iş akışına sahip olmak, kuruluşların güvenliklerini artırmalarına ve kapsayıcılar için tedarik zincirlerindeki saldırı yüzeyini azaltmalarına yardımcı olur. CSSC çerçevesinin Derleme aşaması, aşağıdaki güvenlik hedeflerini karşılamaya yöneliktir.
Hatalı erişim denetimi nedeniyle saldırı yüzeyini azaltma
İç kullanıcılar, derleme altyapısında beklenmeyen değişiklikler veya yanlış yapılandırmalar yapabilir. CSSC çerçevesindeki Derleme aşaması, varsayılan olarak en az ayrıcalık erişim denetimini zorunlu kılarak bu riski ele alır, böylece kaynak sahipleri, doğru kişinin değişiklik ve yapılandırma yapmak için doğru izinlere sahip olduğundan emin olur ve böylece saldırı yüzeyini azaltır.
Kötü amaçlı iç kullanıcıların saldırı yüzeyini azaltma
Kimlik hırsızlığı derleme platformuna erişmek, ikili dosyaları değiştirmek ve özgün geliştirici ve kullanıcılara görünmeyen yasadışı değişiklikler eklemek için kullanılabilir. Ayrıca, güvenlik açığı bulunan kod ekleme veya iç kullanıcılar tarafından yanlış yapılandırma riski de vardır. CSSC çerçevesindeki Derleme aşaması, Azure rol tabanlı erişim denetimi (Azure RBAC) uygulayarak ve çeşitli kod sahiplerinden kod incelemesi uygulayarak bu riski ele alır.
Dış bağımlılıklar nedeniyle saldırı yüzeyini azaltma
Dış kaynaklardan alınan temel görüntüler kötü amaçlı olabilir. Dış kayıt defterleri tehlikeye girebilir. CSSC çerçevesindeki Derleme aşaması, bu riski yalnızca katalogdaki temel görüntüleri kullanarak ve bunları kullanmadan önce imzalarına, güvenlik açığına ve kötü amaçlı yazılım raporlarına ve diğer görüntü meta verilerine karşı doğrulayarak ele alır.
Gizli arka kapılara sahip kötü amaçlı Açık Kaynak Yazılım (OSS) paketleri, paketin ikili dosyalarının kaynak kodla eşleşmesine neden olabilir. Bağımlılıkların veya açık kaynak bileşenlerin geçerliliği sona erebilir ve yukarı akıştan en son güvenlik düzeltmeleri engellenebilir. CSSC çerçevesindeki Derleme aşaması onaylı kitaplıkları kullanarak, güvenlik açıklarını ve kötü amaçlı yazılımları düzenli aralıklarla tarayarak ve kitaplıkları güncel tutarak bu riski giderir.
Güvenliği aşılmış derlemeler nedeniyle saldırı yüzeyini azaltın
Savunmasız derleme aracıları, SolarWinds saldırısı gibi saldırılara neden olabilecek yan ikili dosyalar veya kötü amaçlı kodlar ekleyebilir. CSSC çerçevesindeki Derleme aşaması, derleme aracılarına düzenli aralıklarla düzeltme eki uygulanarak bu riski ele alır.
En düşük görüntü kalitesini sağlama
CSSC çerçevesinin Derleme aşamasında kuruluşlar, derlemeden sonra görüntülerin güvenlik açığı ve kötü amaçlı yazılım taraması için gerekli adımları yapılandırabilir ve raporlar oluşturabilir. Kuruluşlar ayrıca SBOM'lar, provenance meta verileri ve ilkelerini karşılayan diğer iç meta veriler de dahil olmak üzere ek meta verilerle derledikten sonra görüntüleri zenginleştirebilir. Ayrıca, bütünlük sağlamak ve Dağıtım aşaması için güvenilir bir onay damgası sağlamak için yapıtları kurumsal anahtarlarla imzalayabilirler.
Önerilen araçlar
Microsoft, kuruluşların Derleme aşaması iş akışında önerilen adımları uygulamasına yardımcı olabilecek ve yukarıda listelenen güvenlik hedeflerini ele alan bir dizi araç ve hizmet sunar.
Derlemeden sonra güncel kalmak için araçlar
Dependabot, çekme istekleri aracılığıyla bağımlılık güncelleştirmelerini otomatikleştirmeye yönelik bir araçtır. Ayrıntılar ve sonraki adımlar için lütfen bu kılavuza bakın.
Copa, Microsoft destekli bir açık kaynak projesidir ve kapsayıcı görüntülerindeki Linux işletim sistemi paketi güvenlik açıklarını güvenlik açığı tarama sonuçlarına göre giderir. Ayrıntılar ve sonraki adımlar için lütfen bu kılavuza bakın.
Sürekli güvenlik açığı tarama ve düzeltme eki uygulama görüntüleri için araçlar ve hizmet
Bulut için Microsoft Defender, kapsayıcılı iş yüklerinizin güvenliğini geliştirmek, izlemek ve korumak için bulutta yerel çözümdür. Bulut için Microsoft Defender, Azure Container Registry'de depolanan görüntüler için güvenlik açığı değerlendirmesi ve yönetim araçları sunar.
Copa, Microsoft destekli bir açık kaynak projesidir ve kapsayıcı görüntülerindeki Linux işletim sistemi paketi güvenlik açıklarını güvenlik açığı tarama sonuçlarına göre giderir. Ayrıntılar ve sonraki adımlar için lütfen bu kılavuza bakın.
Kurumsal meta verilerle dış görüntüleri zenginleştirmeye yönelik araçlar ve hizmetler
ORAS , Microsoft tarafından desteklenen ve OCI kayıt defterleriyle etkileşime geçmek için açık kaynak CLI ve kitaplıklar sunan bir CNCF projesidir. ORAS, ek açıklamalar eklemek ve kapsayıcı görüntüsüne meta veri eklemek için kullanılabilir. ORAS, tedarik zincirindeki sonraki aşamalar için görüntüleri zenginleştirmek üzere SBOM'lar, provenance meta verileri ve diğer meta veriler eklemek için kullanılabilir.
Microsoft'un SBOM Aracı , her türlü yapıt için SPDX 2.2 uyumlu SBOM'lar oluşturmaya yönelik açık kaynak, yüksek oranda ölçeklenebilir ve kurumsal kullanıma hazır bir araçtır. SBOM Aracı, kapsayıcı görüntüleri için ayrıntılı SBOM'lar oluşturmak için kullanılabilir.
Noter Projesi , yazılım yapıtlarını imzalamak ve doğrulamak için belirtimler ve araçlar geliştiren Microsoft destekli bir CNCF projesidir. Noter Project'in notation
aracı, kapsayıcı görüntülerini ve buluta özel diğer yapıtları kurumsal anahtarlarla imzalamak için kullanılabilir.
Azure Key Vault , şifreleme anahtarlarını, gizli dizileri ve sertifikaları depolamak ve yönetmek için güvenli ve merkezi bir konum sağlayan bulut tabanlı bir hizmettir. AKV, kurumsal anahtarlarınızı güvenli ve güvenilir bir şekilde depolamak ve yönetmek için kullanılabilir.
Sonraki adımlar
Kapsayıcı görüntülerini güvenli bir şekilde dağıtmak için dağıtım aşamasına genel bakış bölümüne bakın.