Содержание
Настройка интеграции с модулями проверки подписей образов
Kaspersky Security для контейнеров может осуществлять проверку подлинности и действительности цифровых подписей образов. Чтобы использовать функцию этой проверки, вам требуется настроить интеграцию решения с одним или несколькими внешними приложениями для подписи. Особенности подписания контрольной суммы образа, место хранения подписей и особенности защиты подписей зависят от выбранного вами приложения для подписи. Решение поддерживает два настраиваемых внешних модуля проверки подписей:
- Notary v1 – разработанное Docker приложение, которое используется для обеспечения безопасности контейнеров на различных этапах их жизненного цикла, в том числе создания и последующего хранения подписей.
- Cosign – приложение, предназначенное для создания подписей для контейнеров, проверки подписей и размещения подписанных контейнеров в репозиториях. Приложение разработано в рамках проекта .
Вы можете настроить интеграцию с модулем проверки подписей в разделе Администрирование → Интеграции → Модули проверки подписей образов.
В началоПросмотр списка интеграций с модулями проверки подписей
В разделе Администрирование → Интеграции → Модули проверки подписей образов отображается таблица со списком всех настроенных интеграций с модулями проверки подписей образов.
В таблице отображаются следующие данные об интегрированных модулях проверки подписей образов:
- Название модуля проверки.
- Описание, если оно указывалось при создании интеграции.
- Тип задействованного модуля проверки подписей – Notary v1 или Cosign.
- Веб-адрес, к которому обращается модуль проверки подписи образов.
В таблице вы можете выполнять следующие действия:
- Добавлять новые интеграции с модулями проверки подписей. Окно ввода параметров интеграции открывается с помощью кнопки Добавить модуль проверки над таблицей.
- Просматривать и изменять параметры интеграции с модулем проверки подписей образов. Окно редактирования открывается по ссылке на названии модуля проверки.
- Удалять интеграцию с модулем проверки подписей образов.
Создание интеграции с модулем проверки подписей
Чтобы создать интеграцию с модулем проверки подписей образов:
- В разделе Администрирование → Интеграции → Модули проверки подписей образов нажмите на кнопку Добавить модуль проверки.
Откроется окно ввода параметров интеграции.
- В блоке Общая информация введите название политики и при необходимости ее описание.
- В блоке Тип выберите один из следующих модулей проверки подписей:
- Notary v1.
- Cosign.
- В зависимости от выбранного модуля проверки подписей укажите параметры для доступа на сервер:
- Для Notary v1 укажите следующие параметры:
- Веб-адрес – полный веб-адрес сервера, где хранятся подписи образов.
- Секрет для аутентификации на сервере подписей – название секрета оркестратора с учетными идентификационными данными для доступа к серверу, где хранятся подписи образов.
Секрет должен находиться в пространстве имен Kaspersky Security для контейнеров.
- Сертификат – самостоятельно сгенерированный сертификат сервера, где хранятся подписи. Сертификат предоставляется в формате .PEM.
- Делегирование – перечень владельцев подписи, которые принимают участие в процессе подписания.
- В блоке Доверенные корневые ключи укажите пары всех открытых ключей, которые решение будет проверять при проверке подписей. Пара ключа включает в себя имя и значение ключа.
При необходимости вы можете добавить дополнительные ключи, нажав на кнопку Добавить пару ключей. Решение поддерживает до 20 пар ключей.
- Для Cosign укажите следующие параметры:
- Секрет для аутентификации на сервере подписей – название секрета оркестратора с учетными идентификационными данными для доступа к серверу, где хранятся подписи образов.
Секрет должен находиться в пространстве имен Kaspersky Security для контейнеров.
- Сертификат – самостоятельно сгенерированный сертификат сервера, где хранятся подписи. Сертификат предоставляется в формате .PEM.
- В блоке Доверенные корневые ключи укажите пары всех открытых ключей, которые решение будет проверять при проверке подписей. Пара ключа включает в себя имя и значение ключа.
Для Cosign указываются открытые ключи для алгоритмов ECDSA или RSA, предоставленные ресурсом cosign.pub.
При необходимости вы можете добавить дополнительные ключи, нажав на кнопку Добавить пару ключей. Решение поддерживает до 20 пар ключей.
- В блоке Требования к подписи укажите минимально необходимое количество подписей и владельцев подписи, которые обязательно должны подписать образ.
- Секрет для аутентификации на сервере подписей – название секрета оркестратора с учетными идентификационными данными для доступа к серверу, где хранятся подписи образов.
- Для Notary v1 укажите следующие параметры:
- Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с модулем проверки подписей.
Настроенную интеграцию вы можете использовать в политиках среды выполнения для обеспечения защиты содержания образа.
В началоПросмотр и изменение информации об интеграции с модулем проверки подписей
Чтобы просмотреть и изменить параметры интеграции с модулем проверки подписей образов:
- В разделе Администрирование → Интеграции → Модули проверки подписей образов нажмите на ссылку на названии интеграции в списке интеграций с модулем проверки подписей.
- В открывшемся окне при необходимости в зависимости от выбранного модуля проверки подписей измените следующие параметры интеграции:
- Для Notary v1 вы можете изменить следующие параметры:
- Название модуля проверки.
- Описание.
- Веб-адрес.
- Секрет для аутентификации на сервере подписей.
- Сертификат.
- Делегирование.
- Имя ключа.
- Значение ключа.
- Для Cosign вы можете изменить следующие параметры:
- Секрет для аутентификации на сервере подписей.
- Сертификат.
- Имя ключа.
- Значение ключа.
- Порог подписания.
- Обязательные владельцы подписи.
- Для Notary v1 вы можете изменить следующие параметры:
- При необходимости добавьте пары ключей, нажав на кнопку Добавить пару ключей.
- Нажмите на кнопку Сохранить в верхней части окна.
Удаление интеграции с модулем проверки подписей
Чтобы удалить интеграцию с модулем проверки подписей:
- Откройте список настроенных интеграций с модулем проверки подписи.
- Выберите интеграцию, которую хотите удалить, установив флажок в строке с названием интеграции.
- Нажмите на кнопку Удалить, которая расположена над таблицей.
Кнопка Удалить становится активной после выбора одной или нескольких интеграций.
- Подтвердите удаление в открывшемся окне.