Aracılığıyla paylaş


Katalog aşamasına genel bakış

İç kullanım için kapsayıcı görüntüleri kataloğu oluşturmak, kapsayıcılar için tedarik zincirinin ikinci aşamasıdır. Alma aşamasından belirli kalite denetimlerini geçen kapsayıcı görüntüleri bir iç kayıt defterinde barındırılır. Şirket içi ekiplerin kurumsal uygulamalar ve hizmetler için gerekli onaylı görüntüleri kolayca bulabilmesi ve kullanması için kapsayıcı görüntülerini kataloglamalısınız. Ayrıca, bir katalogdaki kapsayıcı görüntüleri, en son güvenlik gereksinimlerini karşıladığından emin olmak için güvenlik açıkları ve kötü amaçlı yazılımlara karşı düzenli aralıklarla sürekli olarak taranır.

Microsoft Kapsayıcılar Güvenli Tedarik Zinciri (CSSC) çerçevesi, kapsayıcı görüntülerini kataloglandırma gereksinimini tanımlar ve kapsayıcı görüntülerini bir katalogda güvenli bir şekilde barındırmanıza yardımcı olacak bir dizi en iyi yöntem ve araç sağlar. Bu makalede, CSSC çerçevesinin Katalog aşamasında kullanabileceğiniz hedefler, en iyi yöntemler ve araçlar hakkında bilgi edineceksiniz.

Background

Kuruluşlar şu anda kapsayıcı görüntülerini yönetmek için çeşitli yaklaşımlar kullanmaktadır. Mühendislerin kullanılabilir kapsayıcı görüntülerini bulması, kuruluştaki güvenlik duruşunu ve erişim düzeyi kısıtlamalarını anlanması zor bir durumdur. Bazı kuruluşlar, mühendislerin kullanılabilir kapsayıcı görüntülerini bulmasına yardımcı olmak için kayıt defterinin üzerine kendi portallarını oluşturur. Ayrıca, bazı kuruluşlar mühendislerin doğrudan dış kayıt defterlerinden kapsayıcı görüntülerini kullanmasını kısıtlamak için güvenlik duvarı kısıtlamaları ve ilkeleri uygular.

CSSC çerçevesinin Katalog aşaması, güvenliği sağlamak için kapsayıcı görüntülerinin bulunabilmesini ve sürekli izlenmesini sağlamak için uygulanması gereken bir dizi adım ve güvenlik denetimi önerir.

Microsoft, iç ekiplerin mümkün olduğunca bir iç katalogdan kapsayıcı görüntüleri kullanmasını önerir. Kuruluşların bunu yapamamaları durumunda, kapsayıcı görüntüleri kataloğu için aşağıdaki uygulamaları öneririz.

  • İç ekiplerin kurumsal uygulamalar ve hizmetler için gerekli onaylı görüntüleri kolayca keşfetmesini ve kullanmasını sağlamak için altın renkli görüntüleri kataloglayın.
  • Kapsayıcı görüntülerini güvenlik açıkları ve kötü amaçlı yazılımlara karşı sürekli tarayın, raporlar oluşturun ve orijinallik ve bütünlük sağlamak için raporları imzalayın.
  • Katalog görüntülerinin yaşam döngüsünü izleyin ve destek dışı olan görüntüleri devre dışı bırakın.

Kapsayıcı görüntüleri kataloğu için iş akışı

CSSC çerçevesi, kapsayıcı görüntülerini kataloglayıp kapsayıcı görüntülerinin, iç kayıt defterlerinin güvenliğini sağlamaya ve kapsayıcı görüntülerinin iç kullanım için kabul edilmesini sağlamaya yardımcı olmak için aşağıdaki iş akışını önerir. Kapsayıcı görüntüleri kataloğu için iş akışı aşağıdakileri yapar:

  1. İç hazırlama kayıt defterinde kalite denetimlerini ve ilgili meta verileri geçiren kapsayıcı görüntülerini barındırır.
  2. İç ekiplerin kurumsal uygulamalar ve hizmetler için gerekli onaylı görüntüleri kolayca keşfetmesini ve kullanmasını sağlamak için kapsayıcı görüntülerini kataloglayın.
  3. Düzenli bir tempoda güvenlik açığı ve kötü amaçlı yazılım taramaları zamanlayın ve güvenlik açığı ve kötü amaçlı yazılım raporları oluşturur.
  4. Bütünlüğü sağlamak ve şirket içi kullanım için güvenilir bir onay damgası sağlamak için raporları kurumsal anahtarlarla imzalar.
  5. Katalogdaki kapsayıcı görüntülerinin yaşam döngüsünü izleyin ve destek dışı olan görüntüleri devre dışı bırakın.

Katalog aşamasında güvenlik hedefleri

Kapsayıcı görüntüleri kataloğu için iyi tanımlanmış bir iş akışına sahip olmak, kuruluşların güvenliklerini artırmalarına ve kapsayıcılar için tedarik zincirlerindeki saldırı yüzeyini azaltmalarına yardımcı olur. CSSC çerçevesinin Katalog aşaması, aşağıdaki güvenlik hedeflerini karşılamaya yöneliktir.

Dış bağımlılıklar nedeniyle saldırı yüzeyini azaltma

Kapsayıcı görüntüleri kullanılamıyorsa veya bulunması zorsa, iç ekipler kapsayıcı görüntülerini doğrudan dış kayıt defterlerinden kullanmayı tercih edebilir ve bu da onları kötü amaçlı kapsayıcı görüntüleri gibi saldırılara maruz bırakır.

Bu riski ele almak için CSSC çerçevesindeki Katalog aşaması, iç ekiplerin kurumsal uygulamalar ve hizmetler için gerekli onaylı görüntüleri kolayca bulmasına ve kullanmasına olanak tanımak için katalog altın görüntüleri önerir. Ayrıca iç ekip kullanımına göre Alma aşamasından sürekli görüntüler ekler.

Güvenlik açıklarına giriş riskini en aza indirin

Katalogdaki kapsayıcı görüntüleri güncel olmayan veya eşleşmeyen hale gelebilir ve bu da kurumsal uygulamalara güvenlik açıkları ve kötü amaçlı yazılım ekleyebilen görüntüleri yanlışlıkla kullanma riskini artırır.

Bu riski ele almak için CSSC çerçevesindeki Katalog aşaması, kapsayıcı görüntülerinin güvenlik açıkları ve kötü amaçlı yazılımlara karşı sürekli olarak taranıp standart biçimlerde raporlar oluşturulmasını önerir. Bu, yazılım tedarik zincirinin sonraki aşamalarında kullanılmadan önce raporların doğrulanmasına olanak tanır.

Microsoft, kuruluşların Katalog aşaması iş akışında önerilen adımları uygulamasına ve yukarıda listelenen güvenlik hedeflerine ulaşmasını sağlayan bir dizi araç ve hizmet sunar.

Kapsayıcı görüntülerini barındırma hizmetleri

Azure Container Registry (ACR), kapsayıcı görüntülerinin ve diğer bulutta yerel yapıtların dağıtımını destekleyen, yönetilen, OCI uyumlu bir kayıt defteridir. ACR, en son OCI belirtimleriyle uyumludur ve tedarik zinciri yapıtlarını depolamak için kullanılabilir.

Güvenlik açığı tarama araçları

Bulut için Microsoft Defender, kapsayıcılı iş yüklerinizin güvenliğini geliştirmek, izlemek ve korumak için bulutta yerel çözümdür. Bulut için Microsoft Defender, Azure Container Registry'de depolanan görüntüler için güvenlik açığı değerlendirmesi ve yönetim araçları sunar.

Görüntülerin orijinalliğini sağlamaya yönelik araçlar

Noter Projesi , yazılım yapıtlarını imzalamak ve doğrulamak için belirtimler ve araçlar geliştiren Microsoft destekli bir CNCF projesidir. Noter Project'in notation aracı, kapsayıcı görüntülerini ve buluta özel diğer yapıtları kurumsal anahtarlarla imzalamak için kullanılabilir.

Sonraki adımlar

Kapsayıcı görüntülerini güvenli bir şekilde derlemek için Derleme aşamasına genel bakış bölümüne bakın.