#Использование политики для проверки подписи образа

Alauda Container Security позволяет обеспечивать целостность образов контейнеров в ваших кластерах путем проверки подписей образов с использованием заранее настроенных ключей. Вы можете создавать политики для блокировки неподписанных образов или образов без проверенной подписи и применять эти политики с помощью admission controller, чтобы предотвратить несанкционированные развертывания.

#Поддерживаемые методы проверки подписи

Alauda Container Security поддерживает следующие методы проверки подписи:

• Публичные ключи Cosign
• Сертификаты Cosign

Примечание:

• Поддерживаются только подписи Cosign и проверка публичных ключей/сертификатов Cosign. Для получения дополнительной информации смотрите Cosign overview.
• Связь с журналом прозрачности Rekor не поддерживается.
• Для проверки подписи должен быть настроен как минимум один метод проверки Cosign.
• Для всех развернутых и отслеживаемых образов:
  • Подписи извлекаются и проверяются каждые 4 часа.
  • Подписи проверяются при каждом обновлении данных интеграции проверки подписи.

#Предварительные требования

• У вас должен быть PEM-кодированный публичный ключ Cosign или необходимые данные сертификата — identity и issuer. Подробнее смотрите в Cosign overview и Cosign certificate verification.

#Настройка интеграции подписи

#Использование публичных ключей Cosign

1. В портале Alauda Container Security перейдите в Platform Configuration > Integrations.
2. Прокрутите до раздела Signature Integrations и нажмите Signature.
3. Нажмите New integration.
4. Введите имя интеграции.
5. Нажмите Cosign public Keys, затем Add a new public key.
6. Введите имя публичного ключа и PEM-кодированное значение публичного ключа.
7. (Опционально) Добавьте дополнительные публичные ключи по необходимости.
8. Нажмите Save.

#Использование сертификатов Cosign

1. В портале Alauda Container Security перейдите в Platform Configuration > Integrations.
2. Прокрутите до раздела Signature Integrations и нажмите Signature.
3. Нажмите New integration.
4. Введите имя интеграции.
5. Нажмите Cosign certificates, затем Add a new certificate verification.
6. Введите Certificate OIDC Issuer (поддерживаются регулярные выражения в RE2 Syntax).
7. Введите Certificate identity (поддерживаются регулярные выражения в RE2 Syntax).
8. (Опционально) Введите Certificate Chain PEM encoded для проверки цепочки сертификатов. Если не указано, сертификаты проверяются по корню Fulcio.
9. (Опционально) Введите Certificate PEM encoded для проверки подписи.
10. (Опционально) Добавьте дополнительные проверки сертификатов по необходимости.
11. Нажмите Save.

#Создание и применение политик проверки подписи образа

#Предварительные требования

• В интеграции подписи должен быть настроен как минимум один публичный ключ Cosign.

#Процедура

1. При создании или редактировании политики перетащите критерий Not verified by trusted image signers в поле политики под разделом Policy criteria.
2. Нажмите Select.
3. Выберите доверенных подписантов образов из списка и нажмите Save.

Чтобы предотвратить использование неподписанных образов, включите функцию Contact Image Scanners в конфигурации вашего кластера. Затем при создании политики безопасности для применения проверки подписи выберите опцию Inform and enforce.

---

Для получения дополнительной информации обратитесь к официальной документации Cosign.