Google云用户现可以使用容器供应链安全工具 Voucher ,确保部署到生产环境代码的安全性。Voucher是由电子商务公司Shopify所开发,可在Google云评估CI/CD所创建的容器镜像,并仅于满足预先定义的安全标准下,才给予这些镜像签章,二进制授权(Binary Authorization )会在部署时验证签章,确保符合组织策略和要求的代码,才能部署到生产环境中。
不少开发人员使用Kubernetes建构可扩展应用,但Google提到,要安全的进行扩展,必须要在应用供应链加入治理能力,包括托管安全基础镜像、容器Registry漏洞扫描,以及二进制授权等,才能保证大量部署的代码品质。
而Voucher则可以补齐二进制授权工具链,让用户保护应用供应工作管线,Voucher是一个开源工具,遵守元数据服务器Grafeas规范,其生成的签章,可供二进制授权或是Kubernetes策略引擎Kritis使用。
使用者可在镜像构建之后,在生产部署之前,于CI/DC工作管线呼叫Voucher,Voucher会从镜像库中,撷取新构建的镜像,并且进行用户要求的所有检查,一旦通过检查,Voucher便会为该镜像产生证明,这些证明会被推送到元数据服务器中,供Kritis进行验证。
Voucher让基础设施工程师,可以使用二进制授权来强制实施安全需求,例如限制镜像出处,或阻挡易受攻击的镜像,仅能使用目前没有任何已知漏洞的镜像等。Shopify资深基础设施安全工程师Cat Jones提到,Shopify每天要交付超过8,000个应用版本,并维护内含330,000个容器的Registry表,因此Shopify和Google一起设计了Voucher,以便用安全且全面的方法,来验证要交付到生产环境的镜像。
结合Voucher、具漏洞扫描功能的容器镜像以及二进制授权,用户能以多层安全政策,来防护生产系统,并且尽可能减少对交付速度的影响。不过,Google提醒,为了避免特权升级的问题,签章步骤应该托管在CI/CD工作管线之外,虽然这样会给DevOps团队带来大量的负担,但是Voucher能够自动化进行大部分的设定,用户仅需要在二进制授权中指定签章策略。
现在使用者已经可以在Google云中使用Voucher,可以选择从GitHub中下载,或从Google云市场中安装快速部署版本。
https://www.ithome.com.tw/news/141210
北京:12月18-20日
![]( "分割线")
本文分享自微信公众号 - K8S中文社区(k8schina)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
