Ao verificar imagens em CI/CD, o Kaspersky Container Security protege contra a falsificação de imagens no nível do registro. A integridade e origem das imagens de contêineres implementados num cluster de orquestração é controlada pela verificação de assinaturas de imagens a partir da etapa de compilação em CI.
A integridade da imagem é monitorada em duas etapas:
As assinaturas são verificadas antes da implementação das imagens.
A solução salva uma chave de assinatura, baseada na função do hash SHA256 e usada como código para validação da assinatura. Quando implementado num orquestrador, o Kaspersky Container Security solicita que o servidor de assinatura confirme a autenticidade dela.
O Kaspersky Container Security verifica assinaturas de imagens da seguinte maneira:
Na seção Policies → Runtime → Policies, uma política de tempo de execução é adicionada para proteger o conteúdo da imagem. A política de tempo de execução valida a autenticidade das assinaturas. Assinaturas digitais são validadas com base nos validadores de assinatura de imagem configurados.
O orquestrador inicia a implementação da imagem e usa um controlador de admissão dinâmico para fazer uma solicitação de implementação ao agente (kube-agent).
Um controlador configurável para acessar o Kubernetes que ajuda a aplicar políticas e oferece suporte ao sistema de controle e gerenciamento.
Para enviar a solicitação ao agente do Kaspersky Container Security, configure o controlador de admissão dinâmico no arquivo de configuração values.yaml.
Com base na política de tempo de execução aplicável, o agente verifica as configurações de validação de assinaturas definidas na seção Administration → Integrations → Image signature validators.
Se a verificação confirmar a autenticidade e validade da assinatura, a solução permite que a imagem seja implementada. Do contrário, a implementação é bloqueada.