Um novo esforço open source apoiado por Google, IBM, Red Hat e outros lançamentos para fornecer auditoria e governança para a cadeia de suprimentos de software de contêineres
Compreender de onde o software vem e como foi construído é uma pedra angular de uma boa segurança. Em um esforço para melhorar ainda mais a segurança da plataforma de orquestra de contêineres Kubernetes de código aberto, vários fornecedores se uniram para lançar o projeto Grafeas.
Grafeas que significa "escriba" em grego, é um projeto de código aberto que se destina a fornecer capacidades de auditoria e governança para a cadeia de fornecimento de software de contêiner de microservices. O esforço está sendo apoiado pelo Google e tem o suporte da JFrog, Red Hat, IBM, Black Duck, Twistlock, Aqua Security e CoreOS.
"A especificação da API para o Grafeas foi inicialmente desenvolvido internamente pelo Google, e nós iterada sobre o projeto através de muitas conversas com nossos colaboradores de lançamento e início testadores", Stephen Elliot, gerente de produto do Google Cloud, disse eWEEK . "Incorporamos o feedback dessas conversas e Grafeas representa uma versão de código aberto de nossa implementação interna".
Além de Grafeas, o Google está introduzindo um mecanismo de política Kubernetes chamado Kritis (grego para "juiz"). Kritis é capaz de usar informações de metadados coletadas por Grafeas para informar as decisões políticas sobre o que deve ou não ser executado em um cluster Kubernetes.
"A Kritis está inspirada em desenvolvimentos internos para proteger os aplicativos e discussões em nuvem do Google com testadores iniciais fora do Google", disse Elliot. "Outro resultado dos esforços internos do Google é o plugin Kubernetes ImagePolicyWebHook, que permite delegar decisões de controle de admissão em um serviço externo".
O Google está usando o plugin ImagePolicyWebHook para conectar Kritis à plataforma Kubernetes, de acordo com Elliot. Ele observou que a decisão de admissão para um contêiner é feita através de um serviço web configurável, permitindo uma integração simples com o serviço Kritis.
Entre os fornecedores que apoiam o projeto Grafeas, a IBM, que está participando do esforço para fornecer recursos adicionais, garante a confiança das cargas de trabalho que funcionam dentro de um cluster Kubernetes.
"Por exemplo, a Grafeas será usada para proteger e restringir o agendamento de contêineres onde as imagens têm vulnerabilidades conhecidas", disse Dan Berg, engenheiro distinto da IBM Cloud, para a eWEEK . "Outro ponto de integração que eu gostaria de ver através de extensões para Grafeas é a capacidade de bloquear o agendamento de imagens que não foram assinadas por uma autoridade confiável".
Segurança
Elliott disse que um dos principais aspectos de design da Grafeas é fornecer uma referência estável, de conteúdo endereçável e criptograficamente segura para o artefato do software. Enquanto a Grafeas possui uma referência criptográficamente segura para artefatos de software, ela não é, por padrão, segura contra potenciais adulterações.
"A Grafeas permite armazenar as informações, mas não trata de proteger as informações contra adulteração através de meios criptográficos", disse Elliot. "Para tipos de metadados individuais, isto é feito com base em suas necessidades de segurança".
Por exemplo, Elliot observou que a Kritis usa atestados baseados em assinaturas para garantir que os atestados não possam ser forjados. Na versão inicial, ele disse que os administradores controlarão as chaves e precisarão configurar a política de execução em conformidade.
Notório
A idéia de entender a proveniência e a composição de um recipiente não é nova, com vários esforços anteriores já existentes no mercado, incluindo o IBM Vulnerability Advisor, o Red Hat's Container Health Index e o Docker's open-source Notary. O objetivo com Grafeas, de acordo com os patrocinadores do projeto, é complementar e ir além do que já está disponível.
"Se alguém for um investido notório, o Grafeas pode usá-lo como fonte de metadados", disse Mike Barrett, gerente principal de produtos da OpenShift na Red Hat,
O próprio Índice de Redução de Container da Red Hat, que foi lançado em maio de 2017, também é um exemplo de fonte de metadados que a Grafeas poderá armazenar sobre o contêiner. Barrett acrescentou que a Grafeas com a Kritis ajuda a reunir escaneamento, assinatura, providência, cadeia de confiança, identidade, identificação de camada, ciclo de vida do software e outras preocupações de road-to-production e combiná-los para projetar automação para as vagens de Kubernetes.
"Isso permitirá a auditoria e a governança, como nunca antes visto no espaço de orquestra de contêineres e contêineres", disse Barrett.
Fonte
Até a próxima!!
Nenhum comentário:
Postar um comentário