Optimierung Ihrer Docker Hardened Images Enterprise-Testversion – Teil 2

TL;DR

Docker Hardened Images (DHI) bieten eine verbesserte Sicherheit und Compliance für Container-Images. Die Verifizierung dieser Images erfolgt durch die Analyse von attestierten Metadaten, die kryptographisch signiert sind. Dieser Prozess ermöglicht es Unternehmen, die Sicherheitsstandards ihrer Container-Deployments unabhängig zu bestätigen.

Hauptinhalt

Docker Hardened Images haben sich als effektives Mittel zur Verbesserung der Sicherheit von Container-Anwendungen etabliert. In einer früheren Analyse wurde festgestellt, dass durch die Migration auf DHI eine vollständige Eliminierung von Sicherheitsanfälligkeiten, eine Reduzierung der verwendeten Pakete um 90 % und eine Verringerung der Bildgröße um 41,5 % erreicht werden konnte. Um jedoch die Sicherheit und Compliance dieser Images unabhängig zu verifizieren, ist ein strukturierter Verifizierungsprozess erforderlich.

Ein zentraler Aspekt der DHI sind die sogenannten Attestationen. Diese bestehen aus kryptographisch signierten Metadaten, die Informationen über den Build-Prozess, den Inhalt des Images und die Einhaltung von Compliance-Vorgaben enthalten. Um diese Attestationen zu nutzen, muss bei der Arbeit mit lokal heruntergeladenen Images das Präfix registry:// verwendet werden, um sicherzustellen, dass Docker Scout die Attestationen im Registry-Umfeld abruft.

Die Attestationen umfassen verschiedene Typen, darunter SLSA-Provenance, FIPS-Compliance, STIG-Scans und Software-Bill-of-Materials (SBOM). Jede dieser Attestationen ist ein JSON-Dokument, das spezifische Informationen über das Image bereitstellt. Zu den wichtigsten Attestationen für die Verifizierung gehören:

• SLSA Provenance: Informationen über die Quelle des Builds und den Identitätsnachweis des Builders.
• SBOM: Eine vollständige Liste der verwendeten Softwarekomponenten.
• FIPS Compliance: Nachweis über die Verwendung von FIPS 140-3 zertifizierten kryptographischen Modulen.
• STIG Scan: Ergebnisse der Sicherheitsüberprüfung gemäß den Security Technical Implementation Guides.
• Vulnerability Scan: Bewertung der bekannten Sicherheitsanfälligkeiten (CVEs).

Technische Details/Implikationen

Die Verifizierung der Attestationen erfolgt mithilfe von Docker Scout, das eine benutzerfreundliche Schnittstelle zur Verfügung stellt. Durch die Verwendung des -verify-Flags können Anwender die Signaturen der Attestationen bestätigen. Dieser Prozess basiert auf kryptographischen Hash-Funktionen, die sicherstellen, dass selbst kleinste Änderungen am Inhalt der Attestation sofort erkennbar sind. Zudem wird garantiert, dass die Signatur mit dem spezifischen Image-Digest verknüpft ist, was Substitutionsangriffe verhindert.

Um eine bestimmte Attestation abzurufen, kann der Befehl “docker scout attestation get” verwendet werden, gefolgt von der URI des spezifischen Typs der Attestation. Erfolgreiche Überprüfungen bestätigen, dass die Attestation korrekt abgerufen und die Signatur validiert wurde, während bei Fehlern eine entsprechende Fehlermeldung ausgegeben wird.

Fazit/Ausblick

Die Nutzung von Docker Hardened Images und die damit verbundene Verifizierung von Attestationen sind entscheidend für Unternehmen, die in einer zunehmend sicherheitsbewussten Umgebung arbeiten. Durch die Implementierung dieser Verfahren können Unternehmen das Vertrauen in ihre Container-Deployments stärken und die Sicherheitsstandards aufrechterhalten.