镜像供应链安全

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 容器镜像安全摘要:容器技术改变了软件供应链,镜像签名确保安全。私钥对镜像签名,公钥用于部署时验证。流程包括用户签名镜像并上传至仓库,Kubernetes在部署时校验签名。验签控制器通过镜像digest获取签名数据,使用公钥验证。只有验签成功,工作负载才会被创建。该过程增强了容器环境的信任与安全性。

容器技术重塑了整个软件供应链。容器镜像将应用及其所依赖项打包,从而使应用可以在不同的计算环境之间快速、可靠地运行。容器镜像已经成为了应用分发的标准。镜像供应链安全应支持:

签名私钥:对接统一密钥管理系统或使用自签秘钥工具。

镜像签名:在镜像构建后使用私钥对镜像进行签名,并将镜像签名数据传递到容器镜像仓库。

镜像验签:当工作负载在集群内进行部署时,kubernetes回调验签插件,验签插件对工作负载所使用的镜像所对应的签名文件进行验证,验签通过后才能创建实例。

实现方案

用户提供密钥对,使用私钥对镜像进行镜像签名,公钥在部署应用时进行镜像验签

用户选择镜像仓库中已有镜像,选择对镜像进行签名;

签名后镜像连同签名提交到镜像仓库中;

用户在容器集群上创建工作负载,请求传递给Kubernetes;

Kubernetes中的kube-apiserver接收到请求并进行认证鉴权后,校验请求参数,当请求参数合法时调用验签控制器;

验签控制器根据创建工作负载时指定的镜像url以及镜像拉取secret,从镜像仓库获取镜像digest,并通过镜像digest获取镜像的签名数据;

使用签名数据和签名公钥信息进行验签,并返回验签结果;

验签控制器根据验签结果,确认拒绝或者接受工作负载的创建;

当前通过验签后pod正常创建,工作负载实例正常被kubelet拉起;

 

相关实践学习
通过容器镜像仓库与容器服务快速部署spring-hello应用
本教程主要讲述如何将本地Java代码程序上传并在云端以容器化的构建、传输和运行。
Kubernetes极速入门
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 本课程从Kubernetes的简介、功能、架构,集群的概念、工具及部署等各个方面进行了详细的讲解及展示,通过对本课程的学习,可以对Kubernetes有一个较为全面的认识,并初步掌握Kubernetes相关的安装部署及使用技巧。本课程由黑马程序员提供。   相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
相关文章
|
1天前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
本文基于2024云栖大会演讲,探讨了软件供应链攻击的快速增长趋势及对企业安全的挑战。文中介绍了如何利用阿里云容器服务ACK、ACR和ASM构建云原生软件供应链安全,涵盖容器镜像的可信生产、管理和分发,以及服务网格ASM实现应用无感的零信任安全,确保企业在软件开发和部署过程中的安全性。
|
7月前
|
供应链
借助点晴模切ERP系统,解决仓库管理难题
模切厂的仓库问题基本上来自现场管理不到位,模切企业仓库现场管理不到位包括但不限于以下这些现象:
69 4
|
7月前
|
人工智能 供应链 安全
重大升级 | OpenSCA SaaS全面接入供应链安全情报!
结合社区用户反馈及研发小伙伴的积极探索, OpenSCA 项目组再次发力,SaaS版本重大升级啦! 用户的需求是OpenSCA前进的动力,欢迎更多感兴趣的朋友们积极试用和反馈~
54 0
|
7月前
|
存储 人工智能 供应链
自动化仓库和物流系统
自动化仓库和物流系统
88 2
|
存储 供应链 Kubernetes
软件供应链保护的关键
软件供应链保护的关键
|
运维 安全 Cloud Native
龙蜥社区支持全国首个政府采购云平台——政采云顺利完成 CentOS 迁移
政采云项目采购系统试点替换完成,运行状态稳定,性能无明显差异,替换前后几乎无影响。
龙蜥社区支持全国首个政府采购云平台——政采云顺利完成 CentOS 迁移
|
弹性计算 JSON API
一致的全球部署——镜像篇
一致的全球部署的需要的时候,通过将 自定义镜像 从一个区域复制到另一个区域或者复制到相同到区域,使您能够在不同的区域启动基于相同 Image 的一致实例,达到高可用的需求。针对场景通过aliyuncli实现不同地域的镜像复制及定制化镜像导入导出功能。
3303 0