镜像供应链安全

天翼云开发者社区
• 阅读 175

本文分享自天翼云开发者社区《镜像供应链安全》,作者:黄****坚

容器技术重塑了整个软件供应链。容器镜像将应用及其所依赖项打包,从而使应用可以在不同的计算环境之间快速、可靠地运行。容器镜像已经成为了应用分发的标准。镜像供应链安全应支持: 签名私钥:对接统一密钥管理系统或使用自签秘钥工具。 镜像签名:在镜像构建后使用私钥对镜像进行签名,并将镜像签名数据传递到容器镜像仓库。 镜像验签:当工作负载在集群内进行部署时,kubernetes回调验签插件,验签插件对工作负载所使用的镜像所对应的签名文件进行验证,验签通过后才能创建实例。

实现方案 用户提供密钥对,使用私钥对镜像进行镜像签名,公钥在部署应用时进行镜像验签

用户选择镜像仓库中已有镜像,选择对镜像进行签名;

签名后镜像连同签名提交到镜像仓库中;

用户在容器集群上创建工作负载,请求传递给Kubernetes;

Kubernetes中的kube-apiserver接收到请求并进行认证鉴权后,校验请求参数,当请求参数合法时调用验签控制器;

验签控制器根据创建工作负载时指定的镜像url以及镜像拉取secret,从镜像仓库获取镜像digest,并通过镜像digest获取镜像的签名数据;

使用签名数据和签名公钥信息进行验签,并返回验签结果;

验签控制器根据验签结果,确认拒绝或者接受工作负载的创建;

当前通过验签后pod正常创建,工作负载实例正常被kubelet拉起; 镜像供应链安全

点赞
收藏
评论区
推荐文章
Tommy744 Tommy744
3年前
你的镜像安全吗?
你的镜像安全吗?与传统的服务器和虚拟机相比,Docker容器为我们工作提供了更安全的环境。容器中可以使我们的应用环境组件实现更小,更轻。每个应用的组件彼此隔离并且大大减少了攻击面。这样即使有人入侵了您的应用,也会最大程度限制被攻击的程度,而且入侵后,利用漏洞传播攻击更难。不过,我们还是需要最大程度了解Docker技术本身的存在的安全隐患,这样
Stella981 Stella981
3年前
Docker 系列:打包新镜像到阿里云镜像仓库
一、.JibJava应用构建容器镜像1.Jib介绍Jib是Google开发的可以直接构建Java应用的Docker和OCI镜像的类库,以 Maven 和 Gradle 插件形式提供。通过Jib,Java开发者可以使用他们熟悉的Java工具来构建容器。Jib是一个快速而简单的容器镜像构建工具,它负责处理
Stella981 Stella981
3年前
PouchContainer 容器技术演进助力阿里云原生升级
我们从2016年开始在集团推广全面的镜像化容器化,今年是集团全面镜像化容器化后的第4个双11,PouchContainer容器技术已经成为集团所有在线应用运行的运行时底座和运维载体,每年双11都有超过百万的PouchContainer容器同时在线,提供电商和所有相关的在线应用平稳运行的载体,保障大促购物体验的顺滑。我们通过Pouch
Stella981 Stella981
3年前
Kubernetes 时代的安全软件供应链
作者汤志敏 阿里云容器服务高级技术专家汪圣平 阿里云云平台安全高级安全专家导读:从Dockerimage到Helm,从企业内部部署到全球应用分发,作为开发者的我们如何来保障应用的交付安全。本文会从软件供应链的攻击场景开始,介绍云原生时代的应用交付标准演进和阿里云上的最佳实践。“没有集装箱,就不会有全球化”。在软件行业里,
Stella981 Stella981
3年前
Docker(四)——迁移与备份、导入与导出、Dockerfile、Docker私有仓库、私服的使用(本地拉取和远程拉取)、将镜像上传至dockerhub官网
一、迁移与备份本质就是把安装好应用的容器打包成镜像,提供给其他机器使用,别的机器只需要load回来,就能看到imagerun起来,直接容器就跑起来了。1.通过以下命令将容器保存为镜像:dockercommitmycentos7centos7mydockercommit容器名新的镜像名打
Stella981 Stella981
3年前
Docker使用命令
常用命令从远程仓库抽取镜像dockerpull镜像名<:tags查看本地镜像dockerimages创建容器,启动应用使用d后台运行与宿主机端口映射,使用选项p宿主机端口:容器端口如:dockerrunp
Stella981 Stella981
3年前
28项容器镜像的检查清单(Checklist)
容器镜像是云原生环境中各类应用的标准交付格式。由于容器镜像需要大量分发和部署,因此,需要确保容器镜像在构建、分发和运行全生命周期内的安全。镜像扫描是检查操作系统和安装包中是否存在已知漏洞的一项基本措施。除此之外,还有很多措施可以加强容器镜像的安全。如下表所示,基于镜像安全4个阶段,11个要求,28项检查点,全面检测容器生命周期各个阶段的镜像风险,确保容器镜像
Stella981 Stella981
3年前
Docker镜像优化:从1.16GB到22.4MB
Docker是一个供软件开发人员和系统管理员使用容器构建、运行和与分享应用程序的平台。容器是在独立环境中运行的进程,它运行在自己的文件系统上,该文件系统是使用docker镜像构建的。镜像中包含运行应用程序所需的一切(编译后的代码、依赖项、库等等)。镜像使用Dockerfile文件定义。术语dockerization或containeriz
京东云开发者 京东云开发者
11个月前
Spring配置文件的魔法炼金术:如何制造容器化时代的完美配方 | 京东物流技术团队
基于现代服务的云原生十二要素理论,我们在采用容器化部署时,要保证同一个镜像可以满足不同环境的部署要求,而不是不同环境打包不同的镜像。本文档主要介绍一种基于spring框架的满足不同环境配置的编译打包方案,满足同一个镜像可以在环境分组下通过启动项配置实现不同环境的部署。
容器镜像服务:云原生时代的核心基石
随着云计算技术的快速发展,容器化技术已成为应用部署的主流方式。容器镜像服务作为容器技术的重要组成部分,为应用提供了可靠、高效、一致的运行环境。本文将对容器镜像服务的概念、原理、应用场景以及未来发展趋势进行深入探讨,旨在帮助读者更好地理解和应用容器镜像服务。
天翼云开发者社区
天翼云开发者社区
Lv1
天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。
文章
675
粉丝
15
获赞
40