Alauda Container Security
简体中文

使用策略验证镜像签名

Alauda 容器安全允许您通过将镜像签名与预配置的密钥进行验证,确保集群中容器镜像的完整性。您可以创建策略以阻止未签名的镜像或没有经过验证签名的镜像,并通过准入控制器强制执行这些策略,以防止未经授权的部署。

目录

支持的签名验证方法

Alauda 容器安全支持以下签名验证方法:

  • Cosign 公钥
  • Cosign 证书

注意:

  • 仅支持 Cosign 签名和 Cosign 公钥/证书验证。有关更多信息,请参见 Cosign 概述
  • 不支持与透明日志 Rekor 的通信。
  • 必须配置至少一种 Cosign 验证方法以进行签名验证。
  • 对于所有已部署和监视的镜像:
    • 每 4 小时获取并验证签名。
    • 每当您更新签名集成验证数据时,都会验证签名。

先决条件

  • 您必须拥有 PEM 编码的 Cosign 公钥或所需的证书身份和颁发者。有关更多详细信息,请参见 Cosign 概述Cosign 证书验证

配置签名集成

使用 Cosign 公钥

  1. 在 Alauda 容器安全门户中,转到 平台配置 > 集成
  2. 滚动到 签名集成 并点击 签名
  3. 点击 新建集成
  4. 输入集成的名称。
  5. 点击 Cosign 公钥,然后 添加新公钥
  6. 输入公钥名称和 PEM 编码的公钥值。
  7. (可选)根据需要添加更多公钥。
  8. 点击 保存

使用 Cosign 证书

  1. 在 Alauda 容器安全门户中,转到 平台配置 > 集成
  2. 滚动到 签名集成 并点击 签名
  3. 点击 新建集成
  4. 输入集成的名称。
  5. 点击 Cosign 证书,然后 添加新的证书验证
  6. 输入 证书 OIDC 颁发者(支持 RE2 语法 的正则表达式)。
  7. 输入 证书身份(支持 RE2 语法 的正则表达式)。
  8. (可选)输入 证书链 PEM 编码 以验证证书。如果未提供,则证书将根据 Fulcio 根进行验证。
  9. (可选)输入 证书 PEM 编码 以验证签名。
  10. (可选)根据需要添加更多证书验证。
  11. 点击 保存

创建和强制执行镜像签名验证策略

先决条件

  • 必须在签名集成中配置至少一个 Cosign 公钥。

操作步骤

  1. 在创建或编辑策略时,将 未经过可信镜像签名者验证 的条件拖入 策略条件 下的策略字段。
  2. 点击 选择
  3. 从列表中选择可信镜像签名者,然后点击 保存

要防止使用未签名的镜像,请在集群配置中启用 联系镜像扫描器 功能。然后,在创建安全策略以强制执行签名验证时,选择 通知并强制执行 选项。

有关更多信息,请参阅官方 Cosign 文档