Das Signieren Ihrer Container-Images mit SignServer und Cosign hilft Ihnen, Ihre software Lieferkette zu sichern.
Mit einem signierten Container-Image können Sie überprüfen, woher ein Image stammt, um sicherzustellen, dass es nicht manipuliert wurde und dass nur vertrauenswürdige Images in Ihre Systeme gezogen werden. Eine Container-Signatur identifiziert und authentifiziert, wer das Image signiert hat, und enthält eine signierte Nutzlast in einer JSON-Datei, die das signierte Image identifiziert.
Signieren von Containern mit Cosign und SignServer
Signierte Container-Images können mit SignServer zusammen mit Cosign erstellt werden. Cosign ist ein Werkzeug zur Signierung und Verifizierung von Containern aus dem Sigstore-Projekt der Linux Foundation. Es ermöglicht die Speicherung von Signaturen zusammen mit einem Image oder Artefakt in der Open Container Initiative (OCI) Registry. Weitere Informationen finden Sie in der Cosign-Dokumentation.
Um ein Container-Image zu signieren, verwenden Sie zunächst Cosign, um eine Nutzlast zu erzeugen, die den Digest des Container-Images enthält. Dann verwenden Sie SignServer , um die Nutzdaten zu signieren, und fügen schließlich die signierten Nutzdaten mit Cosign an das Container-Image in der Registrierung an.
Cosign kann später verwendet werden, um zu überprüfen, ob der Digest der Signatur-Nutzdaten mit dem Digest des Container-Images übereinstimmt, an das die Signatur angehängt ist.
Warum SignServer für Container Signing verwenden?
SignServer basiert auf open source und ermöglicht nicht nur das Signieren von Containern, sondern auch von mehr als 20 anderen Signaturformaten für Code Signing, Document Signing und Timestamping. Darüber hinaus unterstützt SignServer HSMs von mehreren Anbietern. Um Signaturschlüssel sicher und konform zu speichern, wird immer ein HSM empfohlen.
Mit SignServer werden alle Ihre Signaturdienste an einem Ort verwaltet und die Sicherheit konsequent und kostengünstig durchgesetzt. Darüber hinaus kann die Plattform auch in Ihre DevOps-Infrastruktur zur Prozessautomatisierung integriert werden.
Erste Schritte mit Container Signing
Möchten Sie SignServer und Cosign ausprobieren, um ein Docker-Container-Image zu signieren?
- Laden Sie SignServer Community Edition herunter und installieren Sie es, siehe Download SignServer.
- Um einen Container zu signieren, generieren Sie zunächst eine Nutzlast mit Cosign und signieren sie dann mit SignServer. Siehe Video-Tutorial und vollständige Anweisungen.
