Microsoft 保護容器的架構簡介

Microsoft 的容器安全供應鏈 （CSSC） 架構是一種順暢、敏捷的工具和程式生態系統，其建置是為了在容器生命週期內整合和執行安全性控制。 容器安全供應鏈策略是針對容器應用程式的所有安全性需求所建置。 目標是要防止使用易受攻擊的容器映像，並使用標準安全性組合建立容器基礎結構。

CSSC 架構是使用下列步驟所建置：

• 識別容器化應用程式的供應鏈階段
• 概述每個階段的風險和必要的安全性控制
• 描述每個階段的安全性目標和目標
• 識別每個階段的安全性工具、程式和最佳做法
• 在每個階段使用元數據、記錄和報告來維護安全性狀態

容器供應鏈中的階段

容器的供應鏈會建置在階段，以配合容器的生命週期。 管線中的每個階段都會以不同的目標、安全性風險和程序來識別。 Microsoft 會識別容器供應鏈中的下列五個階段。

在供應鏈的所有五個階段中實作安全性程式需要一致的可觀察性和監視做法。 不斷演進的安全性做法會更新容器映像、探索弱點、觸發內部程式變更、商務需求，以及進一步需要監視，才能在每個階段中新增透明度。

常見的供應鏈威脅

當我們談論 CSSC 時，我們談論的是軟體廠商、外部來源、開發人員、服務和營運提供者之間的持續軟體交易，散發通道，最重要的是我們的客戶群。 我們的目標是要達成容器軟體的安全交易，併為客戶提供有效的容器基礎結構。 任何小型的入侵、弱點或攻擊都可能導致立即的逆境、嚴重遺失我們信任的合作夥伴、客戶和 Microsoft 的聲譽。 解決這些安全性危害和整個供應鏈中可能的威脅，以確保容器化應用程式的安全性和完整性非常重要。

Microsoft 會識別並深入探討整個供應鏈中的安全性危害和可能威脅：

不受信任的來源

使用來自不受信任來源的容器映像可能會帶來重大的安全性風險。 這些不受信任的來源可能會有包含惡意代碼、弱點或後門的容器映像。

Microsoft 透過下列做法解決這些安全性洩露問題：

• 先驗證容器映像的真實性和完整性，再將其併入其供應鏈，以降低這些風險。
• 使用來自受信任來源的容器映像。 採用影像掃描和驗證工具，協助確保影像來自信譽良好的存放庫，且尚未遭到竄改。

遭入侵的登錄

未正確保護的登錄可以裝載遭入侵或過期的容器映像。 請務必定期稽核和保護登錄，以防止散發不安全的容器映射。 這包括確保映像符合授權需求和企業最佳做法。

Microsoft 透過下列做法解決這些安全性洩露問題：

• 定期稽核和保護容器映像登錄。
• 採用訪問控制、驗證控件和影像掃描來偵測並防止使用不安全或過期的映像。

遭入侵的相依性

將惡意代碼插入基底映像或使用惡意連結庫可能會危及容器應用程式的安全性。

Microsoft 透過下列做法解決這些安全性洩露問題：

• 對容器映像中使用的相依性實作嚴格的控制。
• 定期更新基底映像和連結庫，以修補已知的弱點。
• 利用容器映像掃描來識別並補救任何惡意或易受攻擊的相依性。

遭入侵的組建環境

不安全的建置環境可能會導致包含易受攻擊、過期或不符合規範的容器映像。

Microsoft 透過下列做法解決這些安全性洩露問題：

• 使用受信任且定期更新的工具和容器，保護您的建置環境。
• 實作程式以移除過期或易受攻擊的容器映像，以確保在建置程式期間使用最新版本。

未驗證的部署

部署不受信任或惡意的容器映像可能會讓組織面臨各種安全性缺口。 應備妥訪問控制和健全的驗證程式，以確保只會部署已授權和已驗證的容器映像。

Microsoft 透過下列做法解決這些安全性洩露問題：

• 在部署期間強制執行嚴格的訪問控制和映像驗證程式。
• 利用角色型訪問控制 （RBAC） 來限制誰可以部署容器映像。
• 請確定只會在生產環境中部署受信任且經過徹底測試的映像。

缺乏可觀察性

監視和可觀察性對於偵測安全性問題至關重要。 企業必須投資工具與程式，以提供整個供應鏈的可見度，以即時追蹤容器映射及偵測安全性攻擊。

Microsoft 透過下列做法解決這些安全性洩露問題：

• 在您的容器化環境中實作監視和可觀察性解決方案。
• 使用記錄、追蹤和監視工具來追蹤供應鏈中的容器映像變更、安全性事件和異常狀況。
• 設定可疑活動的警示和通知。

除了這些措施之外，請務必建立明確的安全策略和做法、教育小組的安全性最佳做法，以及定期對容器供應鏈進行安全性評定和稽核。 持續更新與容器相關的安全性威脅和弱點，並據此調整安全性措施。 容器安全性是需要警惕和主動式風險管理的持續程式。

後續步驟

如需 CSSC 架構每個階段的詳細資訊，請參閱：

• 取得階段概觀
• 目錄階段概觀
• 建置階段概觀
• 部署階段概觀
• 執行階段概觀
• 可檢視性概觀