卡巴斯基容器安全

监控镜像的完整性和来源

扫描 CI/CD 中的镜像时，卡巴斯基容器安全可在仓库级别防止镜像欺骗。从 CI 的构建阶段开始，通过验证镜像签名来控制部署在编排器集群中的容器镜像的完整性和来源。

镜像完整性监控分两个阶段：

• 创建容器镜像后对其进行签名。此过程使用外部签名应用程序实现。
• 部署镜像之前检查镜像签名。

  解决方案保存了一个基于 SHA256 哈希函数的签名密钥，并用作签名验证的代码。在编排器中部署时，卡巴斯基容器安全会要求签名服务器确认签名的真实性。

卡巴斯基容器安全按如下方式检查镜像签名：

1. 在“管理 → 集成 → 镜像签名验证器”部分中，可以配置将解决方案与外部镜像签名验证应用程序集成的设置。
2. 在“策略 → 运行时策略 → 策略”部分中，添加运行时策略来保护镜像的内容。该运行时策略会验证签名的真实性。数字签名根据配置的镜像签名验证器进行验证。
3. 编排器启动镜像部署，并使用
   动态准入控制器

   用于访问 Kubernetes 的可配置控制器，有助于执行策略并支持管理和控制系统。

   向代理 (kube-agent) 发出部署请求。

   要将请求发送到卡巴斯基容器安全代理，请在 values.yaml 配置文件中配置动态准入控制器。

4. 根据适用的运行时策略，代理会检查在“管理 → 集成 → 镜像签名验证器”部分中配置的签名验证设置。
5. 如果检查确认签名的真实性和有效性，解决方案将允许镜像部署。否则，部署将被阻止。