Was ist eine Kubernetes-Zugangssteuerung?
Mit Artefaktbescheinigungen können Sie fälschungssichere Herkunfts- und Integritätsgarantien für die von Ihnen entwickelte Software erstellen. Personen, die Ihre Software nutzen, können wiederum überprüfen, wo und wie Ihre Software erstellt wurde.
Kubernetes-Zugangssteuerungen sind Plug-Ins, die das Verhalten des Kubernetes-API-Servers steuern. Sie werden häufig verwendet, um Sicherheitsrichtlinien und bewährte Methoden in einem Kubernetes-Cluster zu erzwingen.
Mit dem Open Source-Projekt des Sigstore-Richtliniencontrollers können Sie Ihrem Kubernetes-Cluster eine Zugangssteuerung hinzufügen, die Artefaktbescheinigungen erzwingen kann. Auf diese Weise können Sie sicherstellen, dass nur Artefakte mit gültigen Nachweisen bereitgestellt werden können.
Zum Installieren des Controllers bieten wir zwei Helm-Diagramme an: eines zum Bereitstellen des Sigstore-Richtliniencontrollers und eines zum Laden des GitHub-Vertrauensstamms und einer Standardrichtlinie.
Informationen zur Bildüberprüfung
Wenn der Richtliniencontroller installiert ist, fängt er alle Image-Pull Requests ab und überprüft den Nachweis für das jeweilige Image. Der Nachweis muss in der Imageregistrierung als angefügtes OCI-Artefakt gespeichert werden, das ein Sigstore-Bundle enthält. In dem Bundle muss der Nachweis sowie Kryptografiematerial enthalten sein, z. B. Zertifikate und Signaturen, das zum Überprüfen des Nachweises verwendet wird. Anschließend wird ein Überprüfungsprozess ausgeführt, mit dem sichergestellt wird, dass das Image mit der angegebenen Buildherkunft erstellt wurde und allen vom Clusteradministrator aktivierten Richtlinien entspricht.
Damit ein Image überprüfbar ist, muss es über einen gültigen Herkunftsnachweis in der Registrierung verfügen. Dies kann durch Aktivieren des push-to-registry: true-Attributs in der actions/attest-build-provenance-Aktion geschehen. Weitere Informationen zum Generieren von Nachweisen für Containerimages findest du unter Generieren von Buildherkunft für Containerimages.
Informationen zu Vertrauenswurzeln und -richtlinien
Der Sigstore-Richtliniencontroller ist in erster Linie mit Vertrauenswurzeln und Richtlinien konfiguriert, dargestellt durch die benutzerdefinierten Ressourcen TrustRoot und ClusterImagePolicy. TrustRoot stellt einen vertrauenswürdigen Verteilungskanal für das öffentliche Schlüsselmaterial dar, das zum Überprüfen von Nachweisen verwendet wird. ClusterImagePolicy stellt eine Richtlinie zum Erzwingen von Nachweisen für Bilder dar.
TrustRoot kann auch einen TUF-Repositorystamm enthalten, sodass Ihr Cluster kontinuierlich und sicher Aktualisierungen seines vertrauenswürdigen öffentlichen Schlüsselmaterials empfängt. Wenn nicht angegeben, verwendet ClusterImagePolicy standardmäßig das Schlüsselmaterial der Schlüsselmaterial der Open Source Sigstore Public Good Instance. Bei der Überprüfung der für private Repositorys generierten Nachweise muss ClusterImagePolicy auf GitHub TrustRoot verweisen.
Nächste Schritte
Wenn du einen Zugangscontroller verwenden möchten, findest du unter Erzwingen von Artefaktbescheinigungen mit einer Kubernetes-Zugangssteuerung weitere Informationen.