Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tworzenie wykazu obrazów kontenerów do użytku wewnętrznego to drugi etap łańcucha dostaw dla kontenerów. Obrazy kontenerów, które przechodzą pewne kontrole jakości z etapu Pozyskiwanie, są hostowane w rejestrze wewnętrznym. Ważne jest, aby umożliwić zespołom wewnętrznym łatwe odnajdywanie zatwierdzonych obrazów wymaganych przez aplikacje i usługi dla przedsiębiorstw oraz korzystanie z nich. Ponadto obrazy kontenerów w katalogu są stale skanowane pod kątem luk w zabezpieczeniach i złośliwego oprogramowania w celu zapewnienia, że spełniają najnowsze wymagania dotyczące zabezpieczeń.
Platforma Secure Supply Chain (CSSC) firmy Microsoft identyfikuje konieczność katalogowania obrazów kontenerów i udostępnia zestaw najlepszych rozwiązań i narzędzi, które ułatwiają bezpieczne hostowanie obrazów kontenerów w katalogu. W tym artykule znajdziesz informacje na temat celów, najlepszych rozwiązań i narzędzi, których można użyć na etapie Katalogu platformy CSSC.
Tło
Obecnie przedsiębiorstwa używają różnych metod zarządzania obrazami kontenerów. Jest to wyzwanie dla inżynierów w zakresie odnajdywania dostępnych obrazów kontenerów, zrozumienia stanu zabezpieczeń i ograniczeń na poziomie dostępu w przedsiębiorstwie. Niektóre przedsiębiorstwa tworzą własny portal na podstawie rejestru, aby ułatwić inżynierom odnajdywanie dostępnych obrazów kontenerów. Ponadto niektóre przedsiębiorstwa nakładają ograniczenia zapory i zasady, aby ograniczyć inżynierom możliwość używania obrazów kontenerów bezpośrednio z zewnętrznych rejestrów.
Etap katalogu struktury CSSC zaleca zestaw kroków i mechanizmów kontroli zabezpieczeń, które należy zaimplementować, aby zapewnić możliwość odnajdywania i ciągłego monitorowania obrazów kontenerów w celu zapewnienia bezpieczeństwa.
Zalecane wskazówki
Firma Microsoft zaleca, aby zespoły wewnętrzne używały obrazów kontenerów z wewnętrznego katalogu, gdy jest to możliwe. W przypadku, gdy przedsiębiorstwa nie są w stanie tego zrobić, zalecamy wykonanie następujących praktyk dotyczących wykazu obrazów kontenerów.
- Wykaz złotych obrazów umożliwiający zespołom wewnętrznym łatwe odnajdywanie zatwierdzonych obrazów wymaganych przez aplikacje i usługi dla przedsiębiorstw oraz korzystanie z nich.
- Ciągłe skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach i złośliwego oprogramowania, generowanie raportów i podpisywanie raportów w celu zapewnienia autentyczności i integralności.
- Monitorowanie cyklu życia obrazów katalogowych i wycofywanie obrazów, które nie są obsługiwane.
Przepływ pracy dla wykazu obrazów kontenerów
Struktura CSSC zaleca następujący przepływ pracy do katalogowania obrazów kontenerów, pomaga zapewnić bezpieczeństwo obrazów kontenerów, rejestrów wewnętrznych i pomóc w akceptowaniu obrazów kontenerów do użytku wewnętrznego. Przepływ pracy dla katalogu obrazów kontenerów wykonuje następujące czynności:
- Hostuje obrazy kontenerów, które przechodzą testy jakości i odpowiednie metadane w wewnętrznym rejestrze przejściowym.
- Obrazy kontenerów wykazu umożliwiające zespołom wewnętrznym łatwe odnajdywanie zatwierdzonych obrazów wymaganych przez aplikacje i usługi dla przedsiębiorstw oraz korzystanie z nich.
- Zaplanuj skanowanie luk w zabezpieczeniach i złośliwego oprogramowania w regularnym czasie oraz generuje raporty o lukach w zabezpieczeniach i złośliwym oprogramowaniu.
- Podpisuje raporty przy użyciu kluczy przedsiębiorstwa, aby zapewnić integralność i zapewnić zaufaną sygnaturę zatwierdzenia do użytku wewnętrznego.
- Monitorowanie cyklu życia obrazów kontenerów w katalogu i wycofywanie obrazów, które nie są obsługiwane.
Cele zabezpieczeń na etapie wykazu
Posiadanie dobrze zdefiniowanego przepływu pracy dla wykazu obrazów kontenerów pomaga przedsiębiorstwom zwiększyć bezpieczeństwo i zmniejszyć obszar ataków w łańcuchu dostaw dla kontenerów. Etap katalogu struktury CSSC jest przeznaczony do spełnienia następujących celów zabezpieczeń.
Zmniejszanie obszaru ataków z powodu zależności zewnętrznych
Jeśli obrazy kontenerów nie są dostępne lub trudne do znalezienia, zespoły wewnętrzne mogą zdecydować się na używanie obrazów kontenerów bezpośrednio z rejestrów zewnętrznych, co naraża je na ataki, takie jak złośliwe obrazy kontenerów.
Aby rozwiązać ten problem, etap Katalogu w strukturze CSSC zaleca katalog złotych obrazów , aby umożliwić zespołom wewnętrznym łatwe odnajdywanie i używanie zatwierdzonych obrazów wymaganych przez aplikacje i usługi dla przedsiębiorstw. Stale dodaje również obrazy z etapu Pozyskiwanie na podstawie wewnętrznego użycia zespołu.
Minimalizowanie ryzyka wprowadzenia luk w zabezpieczeniach
Obrazy kontenerów w katalogu mogą stać się nieaktualne lub niewłaszczone, co zwiększa ryzyko nieumyślnego użycia obrazów, które mogą wprowadzać luki w zabezpieczeniach i złośliwe oprogramowanie do aplikacji dla przedsiębiorstw.
Aby rozwiązać to ryzyko, etap Katalogu w strukturze CSSC zaleca ciągłe skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach i złośliwego oprogramowania oraz generowanie raportów w standardowych formatach. Umożliwia to walidację raportów przed użyciem w kolejnych etapach łańcucha dostaw oprogramowania.
Zalecane narzędzia
Firma Microsoft oferuje zestaw narzędzi i usług, które mogą pomóc przedsiębiorstwom wdrożyć zalecane kroki w przepływie pracy etapu wykazu i rozwiązać cele zabezpieczeń wymienione powyżej.
Usługi do hostowania obrazów kontenerów
Usługa Azure Container Registry (ACR) to zarządzany rejestr zgodny ze standardem OCI, który obsługuje dystrybucję obrazów kontenerów i innych artefaktów natywnych dla chmury. Usługa ACR jest zgodna z najnowszymi specyfikacjami OCI i może służyć do przechowywania artefaktów łańcucha dostaw.
Narzędzia do skanowania luk w zabezpieczeniach
Microsoft Defender dla Chmury jest rozwiązaniem natywnym dla chmury, które usprawnia, monitoruje i utrzymuje bezpieczeństwo konteneryzowanych obciążeń. Microsoft Defender dla Chmury oferuje narzędzia do oceny luk w zabezpieczeniach i zarządzania obrazami przechowywanymi w usłudze Azure Container Registry.
Narzędzia do zapewniania autentyczności obrazów
Notary Project to oparty na firmie Microsoft projekt CNCF, który opracowuje specyfikacje i narzędzia do podpisywania i weryfikowania artefaktów oprogramowania. Narzędzie Notary Project notation może służyć do podpisywania obrazów kontenerów i innych artefaktów natywnych dla chmury przy użyciu kluczy przedsiębiorstwa.
Następne kroki
Zobacz omówienie etapu kompilacji, aby bezpiecznie tworzyć obrazy kontenerów.