Στο τελευταίο μας ιστολόγιο τεχνικής σειράς , εξηγήσαμε πώς να αξιοποιήσουμε τόσο το. Cosign όσο και το Kyverno για να διευκολύνουμε. Kαι να ελέγξουμε τις εικόνες κοντέινερ που χρησιμοποιούνται στα συμπλέγματα Kubernetes. Με αυτόν τον τρόπο, μπορείτε να προστατεύσετε την υποδομή. Oας τόσο από τυχαία σφάλματα όσο. Kαι από κακόβουλες επιθέσεις. Αυτή τη φορά, εκπληρώνουμε την υπόσχεσή μας να βουτήξουμε. Oτον πραγματικό κώδικα που χρησιμοποιούμε για να το κάνουμε.
Η επαλήθευση των υπογραφών εικόνων κοντέινερ
Yίνεται γρήγορα ουσιαστικό μέρος ενός ασφαλούς συμπλέγματος Kubernetes. Με την επαλήθευση υπογραφής κοντέινερ, μπορείτε να είστε. βέβαιοι ότι μόνο οι εικόνες από αξιόπιστες πηγές. Qπως το περιβάλλον. CI/CD του οργανισμού σας. Eπιτρέπεται να αναπτύσσονται στα συμπλέγματά. Oας – προσθέτοντας ένα άλλο εμπόδιο για τους παράγοντες απειλών ή τις εσωτερικές απειλές. Αυτό περιλαμβάνει όχι μόνο τις εικόνες κοντέινερ. Rου δημιουργεί ο οργανισμός σας, αλλά και τα πολλά στοιχεία του. Kubernetes τρίτου μέρους που αναπτύσσονται τακτικά σε ένα σύμπλεγμα. Ενώ υπάρχουν μερικά διαφορετικά έργα που υποστηρίζουν επαλήθευση υπογραφής εικόνων κοντέινερ, η ομάδα SRE της Virtru επέλεξε το Kyverno.
Το Kyverno είναι μια ισχυρή μηχανή πολιτικής
Kubernetes που έχει σχεδιαστεί για τη δημιουργία, την επικύρωση και τη μετάλλαξη πόρων Kubernetes με βάση τις πολιτικές που Αγορά μαζικής υπηρεσίας SMS δημιουργούνται από τους χρήστες. Με τα πολλά χαρακτηριστικά και την ευκολία χρήσης, θεωρήσαμε ότι ταιριάζει καλύτερα στις διαθέσιμες επιλογές.
Χρησιμοποιώντας το Kyverno, μπορείτε να
επαληθεύσετε υπογραφές από διάφορες πηγές, συμπεριλαμβανομένου του δικού σας ζεύγους δημόσιων/ιδιωτικών κλειδιών που Κατανόηση των επιχειρηματικών αναφορών και εύκολοι φιλοξενείτε μόνοι σας και κλειδιών KMS από διαφορετικούς παρόχους cloud. Σε αυτό το παράδειγμα, θα δείξουμε πώς χρησιμοποιούμε έναν συνδυασμό των Cosign, Terraform, Kyverno και ενός κλειδιού GCP KMS σε ένα σύμπλεγμα Google Kubernetes Engine (GKE) για την επαλήθευση των εικόνων κοντέινερ.
Αυτή η πολιτική αξιοποιεί υπογραφές χωρίς
Kλειδί συνσημείωσης που δημιουργεί το έργο εξωτερικού μυστικού για τις δημοσιευμένες εικόνες κοντέινερ. Εάν αναπτυχθεί μια εικόνα στο σύμπλεγμα που προέρχεται από το αποθετήριο “ghcr.io/external-secrets/external-secrets” χωρίς υπογραφή χωρίς κλειδί που εκδίδεται από το “https://token.actions.githubusercontent”, το Pod θα αποτύχει να αναπτυχθεί. Το επόμενο παράδειγμα χρησιμοποιεί έναν ιδιωτικό χώρο αποθήκευσης μητρώου τεχνουργημάτων Google OCI, αλλά άλλα μητρώα κοντέινερ, όπως το GCR και το ECR, είναι επίσης συμβατά με υπογραφές συνσημείωσης:
Αντίγραφο
Αυτή η πολιτική απαιτεί ότι κάθε
Eικόνα κοντέινερ που αναπτύσσεται από το μητρώο κοντέινερ “us-docker.pkg.dev/project123/apps” πρέπει να έχει συσχετισμένη υπογραφή που adb directory χρησιμοποιεί το κλειδί KMS “cosign_key” από ένα έργο GCP με το όνομα “project123”. Οι πολιτικές του Kyverno συνδέονται με τον ελεγκτή αποδοχής Kubernetes, επομένως κατά τη δημιουργία πόρου Kubernetes, ο έλεγχος επαλήθευσης πολιτικής πρέπει να περάσει προτού η Kubernetes δημιουργήσει τον πόρο. Έτσι, εάν μια εικόνα από το μητρώο κοντέινερ αναπτυχθεί στο σύμπλεγμα χωρίς συσχετισμένη υπογραφή KMS, το Pod θα αποτύχει να αναπτυχθεί.
