Kaspersky Container Security

Supervisar la integridad y el origen de las imágenes

Al analizar imágenes en CI/CD, Kaspersky Container Security ofrece protección frente a la suplantación de imágenes a nivel del registro. Para controlar la integridad y el origen de las imágenes de los contenedores desplegados en el clúster del orquestador, se verifican las firmas de las imágenes, comenzando en la etapa de compilación en CI.

La integridad de las imágenes se controla en dos etapas:

• Las imágenes de contenedores se firman después de crearse. Para ello se utilizan aplicaciones externas de firmas.
• Las firmas de las imágenes se verifican antes de desplegar las imágenes.

  La solución guarda una clave de firma, que se basa en la función hash SHA256 y se utiliza como el código para validar la firma. Al desplegarse en un orquestador, Kaspersky Container Security consulta al servidor de firmas para confirmar la autenticidad de la firma.

Kaspersky Container Security verifica las firmas de las imágenes de la siguiente manera:

1. En la sección Administration → Integrations → Image signature validators, puede configurar la integración de la solución a aplicaciones externas de validación de firmas en imágenes.
2. En la sección Policies → Runtime → Policies, se añade una directiva referente a la ejecución para proteger el contenido de la imagen. La directiva referente a la ejecución valida la autenticidad de las firmas. Las firmas digitales se validan sobre la base de la configuración de los validadores de firmas en imágenes.
3. El orquestador inicia el despliegue de imágenes y utiliza un
   controlador de admisión dinámica

   Controlador configurable para acceder a Kubernetes que permite aplicar directivas y es compatible con el sistema de control y gestión.

   para ejecutar una solicitud de despliegue al agente (kube-agent).

   Para enviar la solicitud al agente de Kaspersky Container Security, configure el controlador de admisión dinámica en el archivo de configuración values.yaml.

4. Sobre la base de la directiva referente a la ejecución pertinente, el agente verifica la configuración de la validación de firmas en la sección Administration → Integrations → Image signature validators.
5. Si dicha verificación confirma la autenticidad y la validez de la firma, la solución permite que la imagen se despliegue. De lo contrario, se bloqueará el despliegue.