Docker-Container haben die Art und Weise, wie Anwendungen entwickelt und bereitgestellt werden, revolutioniert. Mit der zunehmenden Verbreitung von Containern wird die Bedeutung von Sicherheitsfragen immer deutlicher. Dies wirft die Frage auf: Wie kann man die Vertrauenswürdigkeit von Container-Images während ihres gesamten Lebenszyklus stärken?
Unternehmen, die in regulierten Umgebungen arbeiten, sind heute bestrebt, die von NIST, OCI, CIS und WebTrust empfohlenen Industriestandards und Vorschriften einzuhalten. Die Sicherstellung, dass die Images authentisch und aktuell sind, ist für die Wahrung der Integrität der Software-Lieferkette und der Bereitstellungspipeline entscheidend. Der Einsatz von Best Practices wie Image-Signierung und Verschlüsselung trägt dazu bei, Man-in-the-Middle-Angriffe (MITM), nicht autorisierte Änderungen, Angriffe auf die Lieferkette und vieles mehr zu verhindern.
Die Docker-Image-Signierung ist ein kryptografischer Mechanismus, der die Quelle (Authentizität) und die Integrität von Docker-Images überprüft, bevor sie auf Container-Plattformen bereitgestellt und ausgeführt werden, indem digitale Signaturen auf sie angewendet werden.
Nachdem ein Docker-Image signiert wurde, was bedeutet, dass es vom Softwareherausgeber genehmigt (signiert) wurde, wird es in eine Registry übertragen, wo es später von einem Deployment-Team abgerufen werden kann, das das authentifizierte Image verifiziert. Wenn Sie versuchen, ein Docker-Image ohne oder mit einer falschen Signatur zu verifizieren oder auszuführen, wird es nicht funktionieren. Diese digitalen Signaturen basieren auf Public-Key-Kryptografie, d. h. sie können nur mit einem privaten Schlüssel erstellt und mit einem entsprechenden öffentlichen Schlüssel verifiziert werden. Dies stellt eine Schwachstelle für die Docker-Signierung dar, denn wenn diese Schlüssel nicht ordnungsgemäß verwaltet werden, könnte ein Angreifer bösartige Software mit einem legitimen Zertifikat verbreiten. Daher ist die Implementierung eines Hardware-Sicherheitsmoduls (HSM) von entscheidender Bedeutung für die Sicherheit der Signierschlüssel.
Um Ihre Signierschlüssel sicher zu halten, hat Securosys ein Plug-in entwickelt, um sie in einem HSM zu schützen. Das Securosys Docker Image Signing Plugin ist in Notation (a.k.a. Notary v2 / Docker Content Trust Notary v2), der neuesten und verbesserten Implementierung von Notary, bzw. Docker Content Trust, einem Notary-Projekt zum Signieren von OCI-konformen Images, implementiert.
Das Securosys Docker Image Signing Plugin ist ein binäres Plugin, das benötigt wird, um die Notation CLI zu verbinden und die Vorteile der TSB und Primus HSMs zu nutzen, um die Schlüssel in einer sicheren Hardware-Umgebung zu erzeugen, zu speichern und anzuwenden. Optional können Sie mit SKA-Schlüsseln (Smart Key Attributes) und dem Workflow-Engine-Teil des TSB Signaturgenehmigungen durch mehrere Parteien wie den CISO, das Entwicklungsmanagement, das Produktmanagement usw. über Genehmigungs-Apps implementieren und orchestrieren.
Erfahren Sie mehr über SKA und TSB Multi-Authorisierung.
TSB in der Docker-Image-Signierungseinstellung ermöglicht die Einrichtung hochgradig anpassungsfähiger Richtlinien für die Autorisierung von Operationen und Transaktionen sowie für die Sperrung oder Entsperrung von Schlüsseln und die Änderung von Richtlinien, was bedeutet, dass Sie den Signierungsprozess einrichten können und die Image-Signierung nur nach gründlichen Tests und Bestätigungen durch beispielsweise Sicherheits- und Compliance-Beauftragte erfolgt. Auf diese Weise kann die Signiergenehmigung auf n von m Quoren, Zeitsperren, die Alarme auslösen und Schlüsseloperationen einschränken, Zeitüberschreitungen, um den Missbrauch von ausgesetzten Signieranforderungen zu verhindern, und verschiedene Kombinationen solcher Funktionalitäten erhöht werden. Genehmigungen können über mobile, Desktop- oder physische kryptografische Geräte ausgeführt werden, wobei die zusätzliche Sicherheit durch die vom HSM durchgesetzte Richtlinie gewährleistet wird.
Der erste Schritt beim Signieren eines Images mit Notation umfasst das Hashing des Original-Images (ein Docker-Image, das für die sichere Verteilung an Kunden bestimmt ist) mithilfe eines Hashing-Algorithmus. Anschließend muss das gehashte Docker-Image mit dem privaten Schlüssel des Entwicklers signiert werden. Das Securosys Docker Image Signing Plug-in ermöglicht die Erstellung und Verwendung von gespeicherten privaten Schlüsseln innerhalb des Securosys HSM, ohne den Schlüssel jemals offenzulegen.
So kann das gehashte Docker-Image durch das Securosys Signing Plug-in und Notation unter Verwendung des privaten Schlüssels signiert werden. Das resultierende signierte Image kann in ein Repository hochgeladen werden, wo seine Signatur später von einem Deployment-Team überprüft werden kann.
Figure 1 Build Pipeline with signed Docker images
Die Speicherung von Container-Images bringt eine Reihe von Hürden mit sich, darunter die immer wiederkehrenden Bedrohungen durch die Ausnutzung von Schwachstellen, unbefugten Zugriff, Man-in-the-Middle-Angriffe und potenzielle Datenverluste.
Bei der Image-Verschlüsselung werden Docker-Container-Images und die zugehörigen Daten im Ruhezustand verschlüsselt. Dadurch wird sichergestellt, dass der Inhalt vor unbefugtem Zugriff, Manipulation oder Diebstahl geschützt ist. Dieser Prozess ist von entscheidender Bedeutung für die Sicherung des gesamten Lebenszyklus von Containeranwendungen, von der Image-Erstellung und -Speicherung bis hin zur Image-Verteilung und Laufzeitausführung.
Bei der Verschlüsselung eines Container-Images wird dessen Inhalt mit Hilfe kryptografischer Algorithmen in ein unlesbares Format umgewandelt. Bei diesem Prozess werden normalerweise Verschlüsselungsschlüssel verwendet, um die Daten des Images zu schützen.
Diese Schlüssel spielen eine entscheidende Rolle beim Schutz sensibler Informationen; daher ist die Sicherheit der Verschlüsselungsschlüssel von größter Bedeutung, und der Ort, an dem sie gespeichert oder verwaltet werden, kann einen erheblichen Unterschied ausmachen. Wenn die Schlüssel innerhalb der Container-Image-Pipeline gespeichert oder verwaltet werden, sind sie anfällig für verschiedene Angriffe oder unbefugten Zugriff. Die Verwendung eines HSM zur Sicherung der Schlüssel bietet eine zusätzliche Schutzebene.
Das Securosys Docker Image Encryption Plugin gewährleistet die sichere Speicherung von Images im Ruhezustand, indem es die Möglichkeit bietet, Ihre Images mit Schlüsseln zu verschlüsseln, die in einem Securosys Primus HSM oder CloudsHSM vor Ort erzeugt und gespeichert werden. Das Plugin stellt eine sichere Verbindung zwischen dem Skopeo-Dienstprogramm, einem Tool für die Verwaltung der Bildspeicherung, und dem Securosys HSM über die REST-API unter Verwendung des Transaction Security Broker (TSB) her.
Durch die Integration der Docker-Image-Verschlüsselung mit der Hardware von Securosys können Sie sicherstellen, dass Ihre Schlüssel niemals außerhalb des HSM offengelegt werden. Dies ist für den Lebenszyklus des Images von entscheidender Bedeutung, da alle Schlüssel, die nach außen gelangen, manipuliert werden könnten.
Das DevOps-Team ist für die Entwicklung und das Testen eines Container-Images verantwortlich, das anschließend erstellt und in ein Repository übertragen wird. Bevor das Image in das Repository gepusht wird, setzt der Entwickler das Skopeo-Dienstprogramm ein, um das Image einfach zu verschlüsseln. Für die Verschlüsselung wird die OciCrypt-Bibliothek zusammen mit unserem Securosys Docker Image Encryption Plug-in verwendet. Dieses Plug-in ermöglicht es dem Entwickler, die Verwendung eines privaten Verschlüsselungsschlüssels anzufordern, der auf dem Securosys HSM gespeichert ist. Wichtig ist, dass diese Architektur sicherstellt, dass der private Verschlüsselungsschlüssel niemals offengelegt wird, was dem Entwickler die Sicherheit gibt, dass das gespeicherte Image sicher und unverändert bleibt.
Um ein Image zu entschlüsseln, muss das Deployment-Team einen Entschlüsselungsbefehl angeben, der denselben privaten Schlüssel verwendet, der auch beim Verschlüsselungsprozess verwendet wurde. Dieser Prozess wird durch das Skopeo-Dienstprogramm erleichtert. Die Entschlüsselungsanforderung wird von der OciCrypt-Bibliothek übersetzt und an das Securosys Docker Encryption Plug-in weitergeleitet und vom HSM verarbeitet. Sobald die Entschlüsselung erfolgreich abgeschlossen ist, kann der Benutzer das Docker-Image bereitstellen.
Figure 2 Encryption of Docker Images
In der heutigen Entwicklungswelt ist die Sicherung von containerisierten Anwendungen von größter Bedeutung. Das Signieren und Verschlüsseln von Docker-Images dient als Dreh- und Angelpunkt, um die Integrität und Vertraulichkeit von Container-Images zu gewährleisten. Manipulationen an Images und andere Bedrohungen können zu Sicherheitsverletzungen oder erheblichen Verlusten führen, was die Notwendigkeit einer robusten Sicherheit unterstreicht. Durch die Integration von Docker-Image-Signierung und -Verschlüsselung mit unserem Securosys Transaction Security Broker (TSB) und Hardware-Sicherheitsmodulen (HSMs) schaffen Sie Vertrauen und die Gewissheit, dass Ihre signierten und verschlüsselten Container vor unbefugten Manipulationen und anderen Bedrohungen geschützt sind.
Wir bei Securosys haben unsere Lösungen sorgfältig für eine mühelose Integration in Ihre aktuellen Docker-Signierungs- und Verschlüsselungs-Workflows entwickelt. Durch die Implementierung einer einfachen Konfiguration können Sie das gesamte Spektrum der Vorteile von TSB-, CloudsHSM- oder Primus HSM-Produkten nutzen und letztendlich Ihre Docker-Sicherheit verbessern. Behalten Sie die Kontrolle über Ihre Schlüssel und migrieren Sie kritische Verschlüsselungs-Workloads nahtlos in die Cloud mit Securosys.
