Definir la ruta a imágenes de contenedores

Para iniciar un análisis, la solución debe determinar la ruta a las imágenes del contenedor que deben analizarse. Esta ruta puede especificarse de dos formas:

• Detallando la etiqueta de la imagen después del nombre del registro, el nombre del repositorio y el nombre de la imagen. La etiqueta es una descripción de la imagen modificable y fácil de leer.

  En este caso, la ruta tendrá el siguiente formato: <registro>/<repositorio>/<nombre de la imagen>:<etiqueta>. Por ejemplo, http://docker.io/library/nginx:1.20.1.

• Detallando el código hash de la imagen después del nombre del registro, el nombre del repositorio y el nombre de la imagen. El código hash es una propiedad interna e integral de una imagen, en particular, el hash de su contenido (se utiliza un algoritmo de hash SHA256).

  Al usar un código hash, la ruta será la siguiente: <registro>/<repositorio>/<nombre de la imagen><código hash>. Por ejemplo, http://docker.io/library/nginx@sha256:af9c...69ce.

Una etiqueta puede asignarse a diferentes códigos hash, mientras que el código hash es exclusivo de cada imagen.

Según el método usado para especificar la ruta a la imagen, Kaspersky Container Security realiza una de las siguientes acciones antes del análisis:

• Convierte la etiqueta en un código hash de confianza.
• Verifica si el código hash especificado en la ruta de la imagen es de confianza. Se considerará que un código hash es de confianza si garantiza cierto nivel de seguridad para mantener la protección deseada respecto del objeto codificado con el algoritmo de hash.

Solo se envían códigos hash de confianza al entorno de ejecución del contenedor.

Antes de ejecutar un contenedor, el contenido de la imagen se compara con el código hash recibido. Para reconocer un código hash como de confianza y una imagen como no dañada, Kaspersky Container Security verifica la integridad y la autenticidad de la firma de la imagen.

Inicio de página