Контроль целостности и происхождения образов

При сканировании образов в процессе CI/CD Kaspersky Security для контейнеров обеспечивает защиту от подмены образов на уровне реестров. Целостность и происхождение образов контейнеров, развертываемых в кластере оркестратора, контролируется при помощи проверки подписей образов, начиная с уровня сборки в CI.

Контроль целостности образов осуществляется в два этапа:

• Подписание образов контейнеров после создания. Этот процесс реализуется при помощи внешних приложений для подписи.
• Проверка подписей образов перед развертыванием.

  Решение сохраняет ключ подписи, который создается на основе хеш-функции SHA-256 и используется в качестве кода проверки подлинности подписи. При развертывании в оркестраторе Kaspersky Security для контейнеров запрашивает у сервера подписей подтверждение подлинности подписи.

Kaspersky Security для контейнеров осуществляет проверку подписей образа в рамках следующего процесса:

1. В разделе Администрирование → Интеграции → Модули проверки подписей образов настраиваются параметры интеграции решения с внешними модулями проверки подписей.
2. В разделе Политики → Среда выполнения → Политики создается политика среды выполнения для защиты содержания образа, которая отвечает за проверку подлинности подписей. Проверка цифровых подписей осуществляется на основе настроенных модулей проверки подписей.
3. Оркестратор запускает развертывание образа и при помощи динамического контроллера доступа делает запрос на развертывание агенту (kube-agent).

   Настраиваемый контроллер для доступа в Kubernetes, который помогает применять политики и поддерживает систему управления и контроля.

   Для направления запроса агенту Kaspersky Security для контейнеров требуется настроить динамический контроллер доступа в конфигурационном файле values.yaml.

4. На основании применимой политики среды выполнения агент проверяет параметры проверки подписи, настроенные в разделе Администрирование → Интеграции → Модули проверки подписей образов.
5. Если проверка подтверждает подлинность и действительность подписи, решение разрешает развертывание образа. В ином случае развертывание запрещается.

В начало