Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le immagini del contenitore e altri artefatti OCI (Open Container Initiative) sono componenti chiave delle applicazioni moderne native del cloud. Questi artefatti possono includere fatture software di materiali (SBOMs), grafici Helm, bundle di configurazione e modelli di intelligenza artificiale. Passano attraverso la catena di approvvigionamento software dalla creazione alla distribuzione. Vengono creati dagli editori, archiviati nei registri e utilizzati in pipeline di integrazione continua e consegna continua (CI/CD) o ambienti di produzione.
Senza misure di sicurezza, gli utenti malintenzionati potrebbero:
- Modificare gli artefatti durante l'archiviazione o il trasferimento.
- Scambia immagini o grafici attendibili con quelli dannosi.
- Inserire immagini di base o dipendenze non verificate nelle compilazioni.
L'aggiunta di misure di sicurezza consente di garantire:
- Integrità: l'artefatto usato è esattamente uguale a quello pubblicato.
- Autenticità: l'artefatto proviene dall'editore previsto.
Insieme, l'integrità e l'autenticità sono fondamentali per proteggere la catena di approvvigionamento e prevenire gli attacchi.
Firma e verifica
Questi processi consentono di fornire integrità e autenticità:
- Firma: produce firme crittografiche che legano l'identità di un pubblicatore a un descrittore di un artefatto, incluso il digest. Gli artefatti OCI come le immagini dei contenitori possono essere firmati dopo la creazione.
- Verifica: verifica che una firma sia valida, l'identità dell'autore sia attendibile e che l'artefatto non venga modificato. È possibile verificare le firme prima dell'utilizzo degli artefatti.
Se la verifica ha esito negativo, i consumer possono bloccare l'estrazione dell'artefatto, utilizzato nelle build o distribuito.
Progetto notario e notazione
Notary Project è un progetto open source che fornisce firma e verifica per gli artefatti OCI.
Notazione è lo strumento Notary Project per la firma e la verifica degli artefatti OCI. La notazione si integra con multipli provider di chiavi crittografiche, tra cui:
- Azure Key Vault: gli utenti gestiscono il proprio ciclo di vita dei certificati, tra cui rilascio, rotazione e scadenza. Questa scelta offre un controllo e una flessibilità forti per le organizzazioni che vogliono mantenere la gestione diretta dei certificati.
- Firma attendibile: fornisce automaticamente certificati senza tocco e rilascia certificati di breve durata . Queste funzionalità semplificano l'esperienza di firma mantenendo al tempo stesso garanzie di sicurezza avanzate.
Le organizzazioni possono scegliere Key Vault per il controllo completo o adottare firma attendibile per un'esperienza semplificata.
Scenari per la firma digitale e la verifica digitale
L'editor di immagini firma le immagini nelle pipeline CI/CD, come GitHub Actions
Un editore di immagini del contenitore compila un'immagine e la firma come parte del flusso di lavoro di GitHub Actions prima di trasferirla nel Azure Container Registry. Questo processo:
- Assicura che i consumer downstream possano verificare l'origine dell'immagine.
- Aggiunge metadati di attendibilità nella supply chain in fase di compilazione.
Il consumer delle immagini verifica le immagini durante la distribuzione su servizio Azure Kubernetes
Quando un'organizzazione distribuisce i carichi di lavoro nel servizio Azure Kubernetes, i criteri del cluster possono applicare che solo le immagini firmate e verificate possano essere eseguite. Questo processo:
- Consente di impedire la distribuzione di immagini non autorizzate o manomesse.
- Aiuta ad assicurare che i carichi di lavoro di runtime provengano da editori affidabili.
Il consumatore di immagini verifica le immagini di base nelle pipeline CI/CD
Prima che gli sviluppatori creino un'immagine dell'applicazione, possono configurare pipeline (ad esempio GitHub Actions) per verificare le firme delle immagini di base. Questo processo:
- Consente di proteggere le compilazioni dall'ereditarietà di vulnerabilità o codice dannoso.
- Applica l'uso di soli componenti upstream attendibili nelle compilazioni dell'applicazione.
Il consumer verifica gli altri artefatti della OCI
Oltre alle immagini del contenitore, i consumer possono verificare questi artefatti archiviati in un registro OCI:
- SBOMs: verificare lo SBOM firmato di un'immagine prima di usarlo per l'analisi della sicurezza.
- Grafici Helm: verificare i grafici prima di installarli nei cluster Kubernetes.
- Bundle di configurazione o modelli di intelligenza artificiale: verificare che questi bundle o modelli provengano dall'editore previsto prima di integrarli nei sistemi.
Contenuti correlati
Questa panoramica presenta l'importanza della firma e della verifica delle immagini del contenitore e di altri artefatti OCI. Ognuno degli scenari seguenti include linee guida dedicate.
Firma con Key Vault
Firma tramite l'interfaccia a riga di comando di Notation:
- Firmare le immagini del contenitore usando Notation, Azure Key Vault e un certificato autofirmato
- Firmare le immagini del contenitore usando Notation, Azure Key Vault e un certificato rilasciato dalla CA
Accesso a un flusso di lavoro GitHub:
Firma utilizzando un servizio di firma attendibile
Firma tramite il CLI di Notation:
Accesso a un flusso di lavoro GitHub:
Verifica
Verifica in un flusso di lavoro GitHub:
- Verificare le immagini del contenitore in un flusso di lavoro GitHub usando Notation e Azure Key Vault
- Verificare le immagini del contenitore in un flusso di lavoro GitHub usando notazione e firma attendibile (anteprima)
Verifica nel servizio Azure Kubernetes: