Контроль целостности и происхождения образов
При сканировании образов в процессе CI/CD Kaspersky Security для контейнеров обеспечивает защиту от подмены образов на уровне реестров. Целостность и происхождение образов контейнеров, развертываемых в кластере оркестратора, контролируется при помощи проверки подписей образов, начиная с уровня сборки в CI.
Контроль целостности образов осуществляется в два этапа:
- Подписание образов контейнеров после создания. Этот процесс реализуется при помощи внешних приложений для подписи.
- Проверка подписей образов перед развертыванием.
Решение сохраняет ключ подписи, который создается на основе хеш-функции SHA-256 и используется в качестве кода проверки подлинности подписи. При развертывании в оркестраторе Kaspersky Security для контейнеров запрашивает у сервера подписей подтверждение подлинности подписи.
Kaspersky Security для контейнеров осуществляет проверку подписей образа в рамках следующего процесса:
- В разделе Администрирование → Интеграции → Модули проверки подписей образов настраиваются параметры интеграции решения с внешними модулями проверки подписей.
- В разделе Политики → Среда выполнения → Политики создается политика среды выполнения для защиты содержания образа, которая отвечает за проверку подлинности подписей. Проверка цифровых подписей осуществляется на основе настроенных модулей проверки подписей.
- Оркестратор запускает развертывание образа и при помощи делает запрос на развертывание агенту (kube-agent).
Для направления запроса агенту Kaspersky Security для контейнеров требуется настроить динамический контроллер доступа в конфигурационном файле values.yaml.
- На основании применимой политики среды выполнения агент проверяет параметры проверки подписи, настроенные в разделе Администрирование → Интеграции → Модули проверки подписей образов.
- Если проверка подтверждает подлинность и действительность подписи, решение разрешает развертывание образа. В ином случае развертывание запрещается.