出品丨Docker公司(ID:docker-cn)
編譯丨小東
每周一、三、五 與您不見不散!
當 Docker EE 的基于角色的權限通路控制(RBAC)與安全叢集功能相結合時,組織就會得到一個安全的容器平台解決方案,該解決方案已經為企業準備好了。
正如在開頭讨論的那篇文章所介紹的,組織通常會有一個“供應鍊”,将應用程式從開發者電腦推送到生産環境中,無論是在本地還是在雲端中。對于大型組織來說,處理 QA 和測試的團隊并不總是開發應用程式的團隊。在将應用程式推送到生産環境之前,可能還會有一個單獨的團隊來處理分段推送和預生産等工作。由于應用程式在部署前需要經過若幹個團隊,是以對于組織來說,能否驗證應用程式的來源是很重要的一項工作。
Docker Content Trust 是個人和團隊向鏡像添加私鑰加密的一種方式,添加數字簽名以確定鏡像的來源、出處以及真實性。使用 Docker EE ,通過選擇隻運作已簽名的鏡像就可以確定部署的鏡像是您所信任的鏡像,并保證該鏡像沒有在鏡像倉庫中或從鏡像倉庫遷移到生産環境的過程中發生更改,如下圖所示:
在 Kubernetes 環境中,這意味着如果所使用的底層鏡像沒有經過特定團隊成員的簽名,則 Docker EE 将阻止在此群集上部署任何工作負載。
這可以用于在供應鍊的某一階段強制鏡像簽名:當開發人員檢查初始鏡像時、當 QA 團隊完成測試時、當安全和網絡團隊評估應用程式時等等。如果鏡像缺失任何所需的簽名,Docker EE 将會阻止該鏡像的部署工作。這一功能使得營運團隊可以防止将未經授權的内容部署到 Kubernetes 中。
鏡像簽名不一定隻來自個人或團隊,它可以擴充到授權的第三方工具,以表明該鏡像建構來自于一個經過驗證的工作流。Docker EE 通過賦予您在 Docker EE UI 中建立和管理用戶端包的能力,進而簡化了這一流程。Docker EE 建立了一個可以讓如 Jenkins 或 GitLab 這樣的 CI 工具使用的密鑰對來對建立和添加到鏡像倉庫中的鏡像進行簽名。
Docker EE 通過保護軟體供應鍊來幫助您更安全的傳遞應用程式。無論您需要對哪種類型的應用程式(傳統、雲原生還是微服務)進行容器化改造、無論您是為 Windows 或是為 Linux 建構應用棧、無論您是在本地或雲端部署應用程式,鏡像漏洞掃描功能、自動的鏡像提升政策以及鏡像簽名都可以幫助您實作安全、自動化的應用程式傳遞流程。