卡巴斯基容器安全
配置与镜像签名验证器的集成
卡巴斯基容器安全可以验证镜像数字签名的真实性和有效性。要使用此功能,您需要配置解决方案与一个或多个外部签名应用程序的集成。镜像摘要签名的细节、签名的位置以及保护签名的细节取决于您选择的签名应用程序。解决方案支持两种可配置的外部签名验证应用程序:
- Notary v1 是 Docker 开发的 Web 服务,用于确保容器在其生命周期各个阶段(包括签名的创建和后续存储阶段)的安全性。
- Cosign 是一项旨在为容器创建签名、验证签名以及将已签名的容器放入存储库种的 Web 服务。该工具是作为 项目的一部分开发的。
您可以在“管理 → 集成 → 镜像签名验证器”部分中配置与镜像签名验证器的集成。
页首查看与签名验证器集成的列表
在管理→集成→镜像签名验证器 部分中,一个表格将显示,其中包含带有镜像签名验证器的所有已配置集成。
该表将显示有关集成镜像签名验证器的以下信息:
- 验证器名称
- 描述(如果在创建集成时曾指定)
- 镜像签名验证器的类型 - Notary v1 或 Cosign
- 镜像签名验证器连接的网址
在表格中,您可以:
- 添加新的与签名验证模块的集成。单击列表上方的“添加签名验证器”以打开集成设置窗口。
- 查看和编辑与镜像签名验证模块集成的设置。您可以单击验证模块名称上的链接来打开编辑窗口。
- 删除与镜像签名验证器的集成。
添加与镜像签名验证器的集成
要添加与镜像签名验证器的集成:
- 在“管理 → 集成 → 镜像签名验证器”部分中,单击“添加签名验证器”按钮。
将打开集成设置窗口。
- 在“常规信息”部分中,输入策略名称,并根据需要输入策略说明。
- 在“类型”部分中,选择以下签名验证器之一:
- Notary v1。
- Cosign。
- 根据所选的签名验证器,指定服务器身份验证凭据:
- 对于 Notary v1,指定以下设置:
- 网址 – 存储镜像签名的服务器的完整网址。
- 签名服务器身份验证密钥名称 – 编排器密钥的名称,密钥中包含用于访问存储了镜像签名的服务器的凭据。
该密钥必须位于卡巴斯基容器安全命名空间中。
- 证书 – 用于存储签名的服务器的自生成证书。该证书以 .PEM 格式提供。
- 委派 – 参与签署过程的签名持有者列表。
- 在“受信任的根”下,指定解决方案将在签名验证期间检查的所有公钥对。密钥对包括密钥的名称和值。
如有必要,可以单击“添加密钥对”按钮来添加其他密钥。解决方案最多支持 20 个密钥对。
- 对于 Cosign,指定以下设置:
- 签名服务器身份验证密钥名称 – 编排器密钥的名称,密钥中包含用于访问存储了镜像签名的服务器的凭据。
该密钥必须位于卡巴斯基容器安全命名空间中。
- 证书 – 用于存储签名的服务器的自生成证书。该证书以 .PEM 格式提供。
- 在“受信任的根”下,指定解决方案将在签名验证期间检查的所有公钥对。密钥对包括密钥的名称和值。
对于 Cosign,指定 cosign.pub 提供的 ECDSA 或 RSA 算法的公钥。
如有必要,可以单击“添加密钥对”按钮来添加其他密钥。解决方案最多支持 20 个密钥对。
- 在“签名要求”部分中,指定必须签署镜像的签名和签名持有者的最小数量。
- 签名服务器身份验证密钥名称 – 编排器密钥的名称,密钥中包含用于访问存储了镜像签名的服务器的凭据。
- 对于 Notary v1,指定以下设置:
- 单击窗口顶部的“保存”按钮保存与镜像签名验证器的集成的设置。
您可以使用运行时策略中已配置的集成来确保对镜像内容的保护。
页首查看和编辑与镜像签名验证器的集成的相关信息
要查看和编辑与镜像签名验证器集成的设置:
- 在“管理 → 集成 → 镜像签名验证器”部分中,单击与签名验证器的集成列表中的集成名称链接。
- 如有必要,在打开的窗口中编辑集成设置,这取决于所选的签名验证器,如下所示:
- 对于 Notary v1,可以修改以下设置:
- 验证器名称。
- 描述。
- URL。
- 签名服务器身份验证密钥名称。
- 证书。
- 委派。
- 密钥名称。
- 密钥值。
- 对于 Cosign,可以修改以下设置:
- 签名服务器身份验证密钥名称。
- 证书。
- 密钥名称。
- 密钥值。
- 阈值。
- 所需签名者。
- 对于 Notary v1,可以修改以下设置:
- 如有必要,单击“添加密钥对”按钮来添加密钥对。
- 单击窗口上部的“保存”按钮。
删除与镜像签名验证器的集成
要删除与镜像签名验证器的集成:
- 打开已配置的与镜像签名验证器的集成列表。
- 通过选中集成名称行中的复选框来选择要删除的集成。
- 单击表格上方的删除。
选择一个或多个集成后, “删除”按钮将变为启用状态。
- 在打开的窗口中,确认删除。