#Использование политики для проверки подписи образа

Alauda Security Service позволяет проверять целостность container images, проверяя их подписи по доверенным подписывающим сторонам, которые вы настраиваете в платформе. Затем вы можете использовать политику, чтобы создавать предупреждения или блокировать неподписанные образы и образы, которые не проходят проверку подписи.

#Поддерживаемые методы проверки подписи

Поддерживаемые методы проверки подписи включают:

• Открытые ключи Cosign
• Сертификаты Cosign
• Проверка журнала прозрачности с использованием Rekor
• Проверка без ключа

Примечание:

• Alauda Security Service поддерживает проверку подписей Cosign с использованием открытых ключей Cosign, сертификатов Cosign или обоих методов.
• Alauda Security Service поддерживает взаимодействие с журналом прозрачности Rekor.
• Alauda Security Service поддерживает проверку без ключа.
• Для проверки подписи должен быть настроен как минимум один метод проверки Cosign.
• Для всех развернутых и отслеживаемых образов:
  • Подписи извлекаются и проверяются каждые 4 часа.
  • Подписи проверяются всякий раз, когда вы обновляете данные проверки интеграции подписи.

#Предварительные требования

• У вас должен быть открытый ключ Cosign, закодированный в PEM, или требуемая идентичность сертификата и издатель. Подробнее см. Cosign overview и Cosign certificate verification.

#Настройка интеграции подписи

#Использование открытых ключей Cosign

1. В портале Alauda Security Service перейдите в Platform Configuration > Integrations.
2. Прокрутите до Signature Integrations и нажмите Signature.
3. Нажмите New integration.
4. Введите имя для интеграции.
5. Разверните Cosign public keys и нажмите Add new public key.
6. Введите:
   • Public key name
   • Public key value в формате PEM
7. Необязательно: добавьте дополнительные открытые ключи по мере необходимости.
8. Нажмите Save.

#Использование сертификатов Cosign

1. В портале Alauda Security Service перейдите в Platform Configuration > Integrations.
2. Прокрутите до Signature Integrations и нажмите Signature.
3. Нажмите New integration.
4. Введите имя для интеграции.
5. Разверните Cosign certificates и нажмите Add new certificate verification.
6. Введите обязательные поля для сопоставления идентичности:
   • Certificate OIDC issuer
   • Certificate identity
7. Необязательно: при необходимости введите материалы сертификата:
   • Certificate chain (PEM encoded)
   • Intermediate certificate (PEM encoded)
8. Необязательно: включите Enable certificate transparency log validation.
9. Необязательно: если включена проверка журнала прозрачности, укажите Certificate transparency log public key, если вам нужно выполнять проверку по определенному ключу журнала прозрачности. Если оставить поле пустым, в интерфейсе будет указано, что используется публичный ключ экземпляра Sigstore.
10. Необязательно: добавьте дополнительные проверки сертификатов по мере необходимости.
11. Нажмите Save.

#Настройка проверки журнала прозрачности

В текущем интерфейсе настройки журнала прозрачности подписи вынесены в отдельный раздел Transparency log.

1. В интеграции подписи разверните Transparency log.
2. Выберите Enable transparency log validation.
3. В Rekor URL оставьте значение по умолчанию для публичного экземпляра Rekor или укажите URL для собственного сервиса Rekor.
4. Необязательно: выберите Validate in offline mode, если вы хотите, чтобы проверка доказательства не переходила к онлайн-подтверждению от сервиса журнала прозрачности.
5. Необязательно: в Rekor public key укажите открытый ключ Rekor для журнала прозрачности в формате PEM. Если оставить поле пустым, в интерфейсе будет указано, что используется публичный ключ экземпляра Sigstore.
6. Нажмите Save.

Примечание: В интерфейсе будет указано, что проверка журнала прозрачности требуется, если подписи содержат краткоживущие сертификаты, выданные Fulcio.

#Использование проверки без ключа

Проверка без ключа поддерживается через проверку на основе сертификатов.

Чтобы использовать проверку без ключа:

1. Создайте интеграцию подписи хотя бы с одной проверкой сертификата.
2. Настройте значения Certificate OIDC issuer и Certificate identity, которые соответствуют подписывающей стороне.
3. Если это требуется в вашей среде, включите проверку журнала прозрачности сертификатов и настройте раздел Transparency log для проверки Rekor.
4. Сохраните интеграцию и укажите на неё ссылку в своей политике.

#Создание и применение политик проверки подписи образа

#Предварительные требования

• Должна быть настроена как минимум одна интеграция подписи.
• Чтобы применять политику во время развертывания, для целевого кластера должен быть включен admission controller.

#Процедура

1. В портале Alauda Security Service перейдите в Platform Configuration > Policy Management.
2. Создайте новую политику или отредактируйте существующую пользовательскую политику.
3. В потоке политики откройте шаг Rules.
4. Добавьте в политику критерий Not verified by trusted image signers.
5. Нажмите Select.
6. Выберите одного или нескольких доверенных подписывающих сторон образов из настроенных интеграций подписи.
7. Нажмите Save.
8. В Policy behavior выберите реакцию для совпадающих образов:
   • используйте только оповещения, если вам нужна видимость без блокировки
   • используйте применение на этапе развертывания, если вы хотите блокировать неподписанные или непроверенные образы
9. Сохраните политику.

Чтобы предотвратить использование неподписанных образов, включите функцию Contact Image Scanners в конфигурации кластера. Затем настройте политику с применением на этапе развертывания, выбрав Inform and enforce.

#Проверка подписей образов с помощью roxctl

Чтобы проверить целостность образа, просканируйте образ, который включает digest:

roxctl image scan \
  --image=<registry>/<repository>/<image>@<digest>

Проверьте вывод на наличие данных проверки подписи. Если для интеграции подписи включена проверка журнала прозрачности, убедитесь, что вывод также содержит Rekor bundle с доказательством включения в журнал прозрачности.

Дополнительную информацию см. в официальной Cosign documentation.