Рубрики
Uncategorized

5 Инструменты для защиты контейнеров сейчас!

Обеспечение любой среды требует нескольких строк защиты, и он обычно довольно сложный. И это … Tagged с Azure, Docker, DevOps, контейнером.

Обеспечение любой среды требует нескольких строк защиты, и он обычно довольно сложный. И это ничем не отличается, когда дело доходит до контейнеров.

К счастью для нас, такие инструменты, как реестр контейнеров Azure и Центр безопасности, предоставляют правильные функции для обеспечения сквозного рабочего процесса нашего контейнера, быстро и легко.

вступление

Когда дело доходит до контейнеров и безопасности контейнера, есть много вещей, которые вам нужно учитывать.

  • Как создавать изображения?
  • Где их хранить?
  • Как развернуть?
  • Что позаботиться после развертывания?

Это всего лишь некоторые из наиболее распространенных вопросов …

Я уже говорил в некоторых предыдущих постах о Как мне нравится создавать свои контейнерные изображения ( видео ) и Как я развернул их в корпоративных сценариях ( видео ) Так что я не буду покрывать это здесь. Я очень поощряю вас проверить их.

Вместо этого я расскажу, как использовать Реестр контейнеров Azure , Центр безопасности Azure и Политика Azure к Защитите свои контейнеры Когда они оставляют вашу контролируемую среду, если вы будете.

видео

Если вы Визуальный учащийся , просто предпочитаю смотреть и слушать вместо чтения, или вы хотите увидеть это в действии, здесь у вас есть видео с целым объяснением, которое будет честно, гораздо более полное, чем этот пост.

Если вы скорее предпочитаете читать, ну … Давайте просто продолжим:)

О ACR.

Реестр контейнеров Azure Фактически недавно объявил об общей доступности таких функций, как Azure частная ссылка , Управляемые клиентом ключи , Выделенные точки с данными и Определения политики Azure , а также Интеграция с Azure Security Center Для проверки безопасности контейнерных изображений. Эти функции предоставляют инструменты для защиты реестра Azure Container в рамках контейнеровочного конечного рабочего процесса, и я сосредоточусь на тех, один за другим.

Клавиши, управляемые клиентом

Во-первых, давайте поговорим о управляемых клиентами ключах.

По умолчанию, когда вы храните изображения и другие артефакты в реестре Azure контейнера, контент автоматически зашифрован автоматически с помощью Microsoft-управляемые ключи Отказ

Но если у вас или вашей организации есть более строгие потребности в соответствии, или вы хотите иметь полный контроль, вы можете выбрать ключи, управляемые клиентом, которые являются Создано и поддерживается в вашем витрине Azure Key экземпляр.

Есть немного Предварительные условия , сначала вам нужно создать Управляемая личность для акров.

az identity create \
  --resource-group  \
  --name

Тогда вам нужно будет создать Keyvault , если у вас уже нет.

И, конечно, вам нужно будет позволить управляемому личности доступа к этому keyVault.

Просто перейти к Политики доступа > Добавить > И выберите вашу управляемую идентичность под Выберите директор

Вам просто нужен Получить , Развернуть ключ и Ключ обернуть Действительности под Ключевые разрешения

Наконец, на KeyVault вам нужно Создать ключ Для обеспечения вашего ACR.

Просто перейдите к ключевой раздел KeyVault, выберите + Генерировать/импортировать и введите уникальное имя для ключа.

И, наконец, теперь вы можете Создайте реестр контейнера Отказ ( Видео с полным объяснением и примерами )

Выберите премиум SKU и в разделе шифрования:

После того, как вы включите управляемый клиентом ключ в реестре, вы можете выполнить те же операции по реестрам, что и в реестре, который не зашифрован с помощью ключа, управляемого клиентом.

И, конечно, вы можете Измените этот ключ по дороге.

Просто перейти к Шифрование под Настройки > Изменить ключ > Выберите клавишу> Выберите тот же> Создать ключ > Создать, создать> Сохранить

Конечно, вы также можете использовать еще один клавишный клавиш, если хотите.

Есть немного вещи, чтобы отметить здесь:

  1. Эта функция доступна только на уровне реестра премиум-контейнера.
  2. В настоящее время вы можете включить ключ, управляемый клиентом только при создании реестра.
  3. После того, как вы включите управляемый клиентом ключ в реестре, вы не можете отключить его.

Частные ссылки

Давайте перейдем сейчас по частным ссылкам.

Реестр контейнеров ранее имел возможность ограничивать доступ, используя правила брандмауэра. Теперь, с введением частной ссылки, конечные точки реестра назначены Частные IP-адреса , трафик маршрутизации в вашей виртуальной сети и обслуживание через сеть Microsoft Backbone.

Это, конечно, означает не только крепческую безопасность при одновременном доступе к реестру Azure Container напрямую, например, для нажатия изображений, но и при связи с другими службами Azure, которые либо в VNET, либо в том, что поддерживают частную ссылку, как Aks.

Вы можете настроить личную ссылку, когда вы создаете реестр, или вы можете добавить личную ссылку в существующий реестр.

Чтобы добавить его в существующий, перейдите в Сетевые > Частные конечные точки > + Частная конечная точка И следуйте мастеру, чтобы выбрать реестр контейнера и VNET, к которому вы хотите подключиться. ( Видео с полным объяснением и примерами )

Теперь ваш реестр доступно только из этого VNet и его заглядываемые vnets, если таковые имеются.

Это также означает, что Вам нужно будет протолкнуть свои изображения в реестр контейнеров из виртуальной машины, которая находится в той же виртуальной сети где настроена частная ссылка. Но это не имеет большого значения, используя Azure DEVOPS, вы можете просто зарегистрировать небольшую виртуальную машину в том, что VNET в качестве самого хозяйственного агента трубопровода, и вы добруетесь, если у вас либо Docker CLI или Azure CLI на этом VM, конечно.

Выделенные конечные точки данных

Как мы видели, частная ссылка является наиболее безопасным способом управления доступом к сети между клиентами и реестром, поскольку сетевой трафик ограничен виртуальной сетью Azure.

Если частная ссылка не может использоваться, например, поскольку вы хотите использовать реестр контейнера с экземплярами контейнеров Azure, которые во время записи не поддерживают частную ссылку, затем Выделенные конечные точки данных могут быть включены для минимизации проблем Exfiltration данных Отказ

Включение выделенных конечных точек данных означает, что вы можете Настройте правила брандмауэра с полностью квалифицированными доменными именами Вместо правила с подстановочным знаком для всех учетных записей хранения.

Вы можете включить выделенные конечные точки данных с помощью портала Azure или Microsoft Azure CLI.

Еще раз, на портале Перейти к Сетевые > Открытый доступ > Включить выделенную конечную точку данных

Конечная точка данных (или конечные точки) появится в портале.

Как видите, конечные точки данных следуют региональной модели:

..data.azurecr.io.

И прохладная часть заключается в том, что если у вас есть репильдер Geo-реплицированный, включение конечных точек данных создает конечные точки во всех регионах реплики .

Встроенные политики ACR

Далее одна особенность, которая была решена недавно, и я должен сказать, что мне очень нравится.

Я говорю о встроенных определениях политики Azure в реестре Azure Consister.

На мой взгляд, эти политики — Довольно важно Поскольку наличие возможностей безопасности обеспечит ваши рабочие процессы только в том случае, если они будут реализованы. Встроенные политики Azure гарантируют ваши ресурсы Azure, следуют за лучшими практиками безопасности.

И лучше всего, есть Нет обвинений Для использования Azure Policy!

Все, что вы должны сделать, это собираться в Azure Policy > Назначения > Назначить политику а потом искать Регистрация контейнеров В коробке «Определение политики»

Просто нажмите на тот, который вы хотите использовать, и выберите Область (вся подписка или единая группа ресурсов). И вы сделали. Для применения новой политики требуется около 30 минут.

Затем вы можете пойти в « Соответствие », чтобы увидеть, реализуют ли ваши контейнерные реестры вашей политики и лучшие практики или нет.

Используя политику Azure, вы можете убедиться, что ваши реестры будут соответствовать потребностям вашей организации. И это довольно важно.

Сканирование изображений контейнера центра безопасности Azure

Последнее, но не менее важное, давайте поговорим о безопасности для контейнерных изображений.

Если вы на Azure Security Center’s Стандартный уровень , вы можете добавить Контейнерные реестры Bundle Отказ Эта необязательная функция приносит более глубокую видимость в уязвимости изображений в ваших реестрах и гарантирует, что центр безопасности готов сканировать изображения, которые подталкиваются в реестр.

Всякий раз, когда изображение нажата в ваш реестр, центр безопасности уведомлен через веб-камыши и автоматически сканирует это изображение.

Изображение вытащено из реестра, и он работает в Изолированная песочница с качественным сканером, который извлекает список известных уязвимостей.

Центр безопасности затем фильтрует и классифицирует выводы от сканера.

Когда изображение здорово, центр безопасности отмечает его так, как таковой, в противном случае он генерирует рекомендации по безопасности для решения проблем.

Только у уведомления, когда есть проблемы, центр безопасности уменьшает потенциал для нежелательных информационных предупреждений.

Когда сканирование завершается (обычно примерно через 2 минуты, но может быть до 15 минут), результаты доступны как Рекомендации Центра безопасности как этот:

Вывод

Хорошо, вот это за сегодня. Это было много вещей, надеюсь, вы остались со мной все время.

Дайте мне знать в разделе комментариев ниже, если вы уже используете какие -либо из этих функций или, если нет, то, как вы заботитесь о рабочих процессах контейнера.

Ссылки и ссылки

Оригинал: «https://dev.to/n3wt0n/secure-your-containers-now-4enc»

Читайте ещё по теме: