镜像供应链安全
本文分享自天翼云开辟者社区《镜像供应链安全》,作者:黄****坚容器技术重塑了整个软件供应链。容器镜像将应用及其所依靠项打包,从而使应用可以在差别的盘算环境之间快速、可靠地运行。容器镜像已经成为了应用分发的尺度。镜像供应链安全应支持:
签名私钥:对接同一密钥管理系统或使用自签秘钥工具。
镜像签名:在镜像构建后使用私钥对镜像进行签名,并将镜像签名数据通报到容器镜像仓库。
镜像验签:当工作负载在集群内进行摆设时,kubernetes回调验签插件,验签插件对工作负载所使用的镜像所对应的签名文件进行验证,验签通过后才气创建实例。
实现方案
用户提供密钥对,使用私钥对镜像进行镜像签名,公钥在摆设应用时进行镜像验签
用户选择镜像仓库中已有镜像,选择对镜像进行签名;
签名后镜像连同签名提交到镜像仓库中;
用户在容器集群上创建工作负载,哀求通报给Kubernetes;
Kubernetes中的kube-apiserver接收到哀求并进行认证鉴权后,校验哀求参数,当哀求参数合法时调用验签控制器;
验签控制器根据创建工作负载时指定的镜像url以及镜像拉取secret,从镜像仓库获取镜像digest,并通过镜像digest获取镜像的签名数据;
使用签名数据和签名公钥信息进行验签,并返回验签结果;
验签控制器根据验签结果,确认拒绝或者担当工作负载的创建;
当前通过验签后pod正常创建,工作负载实例正常被kubelet拉起;
https://img2024.cnblogs.com/blog/2764337/202406/2764337-20240613181723031-649423745.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]