场景介绍
【漏洞风险识别,自动阻断】研发同学在代码迭代过程中,由于依赖错误的 Base Image,导致容器镜像存在高危风险。基于云原生应用交付链支持镜像的自动安全扫描及策略阻断。当安全策略没有通过后,研发同学应用的上线被中断,并收到一条通知信息。
【漏洞一键修复,自动交付】研发同学通过控制台一键修复漏洞,自动触发安全扫描。当安全策略验证通过后,会自动触发镜像的签名并交付至 ACK 部署。
前提条件
- 创建一个 ACR EE 实例-高级版,相关操作,请参考创建企业版实例。
- 完成企业版实例的初始化操作,添加一个 VPC 作为云安全中心访问企业版实例的通道。相关操作,请参考配置 VPC 访问控制。
- 开通 Codeup 代码源,点击右侧添加库,选择导入代码库。在导入代码库的弹框中,选择 URL 导入。在源代码库地址中填写:https://github.com/susanna8930/workshop 完成导入。
操作步骤
步骤一:绑定代码源
登录 Codeup 创建,点击个人设置,点击个人访问令牌。
- 在个人访问令牌中,选择设置当前实验所需的最小权限。
- 用户相关信息的只读权限:read:user
- 代码库的只读权限:read:repo
- 代码库分支的只读权限:read:repo:branch
- 代码库标签的只读权限:read:repo:tag
- 代码库Webhook的全部读写权限:read:repo:webhook、write:repo:webhook
- 代码组的全部读权限:read:group
- 企业相关信息的只读权限:read:org
- 在个人信息中,对话框左侧导航栏单击 HTTPS 密码,查看克隆账号。获取对应的账号名。
登录 ACR 控制台,在代码源部分配置前面获取到的账号名及个人访问令牌。
在代码源页面显示 Codeup 已绑定,则说明绑定成功。参考关于源代码绑定的帮助文档。
步骤二:创建源代码仓库
- 在企业版实例管理页面左侧导航栏,选择仓库管理 > 镜像仓库,点击创建镜像仓库。
- 创建命名空间 demo,仓库名称 workshop,设置仓库类型为公开。(仅 Workshop 示意,不建议生产环境开启)。
- 选择预先导入的 Codeup 代码仓库,默认开启代码变更自动构建镜像,点击创建镜像仓库。
- 在镜像仓库页面,单击目标仓库右侧操作列中的管理。单击左侧导航栏中的构建,在构建规则设置区域单击添加规则,配置构建规则,然后单击确定。
- 构建信息页面:选择 Branch 类型,从下拉框中选择 master 分支。
- 镜像版本页面:填写镜像版本 v1.0,点击保存。
创建完成后,可在源代码仓库查看对应的构建规则,点击立即构建,可从 Codeup 上拉取容器镜像进行构建。
步骤三:创建云原生应用交付链
- 在企业版实例管理页面左侧导航栏中选择云原生交付链 > 交付链。
- 在创建交付链页面基本信息区域,输入以下信息。
- 交付链名称:设置交付链的名称。
- (可选)交付链描述:设置交付链的基本描述。
- 交付链作用范围:选择前面创建的源代码仓库。
- 在交付链的安全扫描节点,配置一下信息。
- 安全引擎:选择云安全中心安全引擎。
- 是否阻断:选择阻断。
- 是否删除:选择不删除。
- 漏洞等级:选择高危,漏洞个数:1个。
步骤四:修改 Codeup 源代码,触发交付链自动构建及安全扫描
- 在 Codeup,任意修改 hello-world.go 的文件内容。
- 在交付链的执行记录页面,查看当前交付链的执行情况。稍等片刻,发现交付链已被阻断,执行状态为取消。
3. 点击操作详情,查看容器镜像的漏洞情况。
步骤五:一键修复容器镜像,再次触发交付链流程
- 点击一键修复,选择不覆盖,将以 _fixed 为后缀形成新的容器镜像版本。点击立即修复。
2. 在交付链的执行记录页面,查看当前交付链的执行情况。稍等片刻,发现容器镜像已修复完成,顺着交付链完成了后续流程。
3. 点击安全扫描节点,发现镜像漏洞已经全部修复完成了。
总结
- 【安全策略】容器安全防护需要“左移”,从容器供应链源头的构建阶段就保障镜像的内容安全可信。
- 【DevSecOps】基于 ACR 云原生应用交付链,可将 DevOps 全面升级 DevSecOps。全链路可观测、可追踪、可自定义安全策略,保障端到端的容器业务安全。
附录
- 完整 Demo 视频
- 示意源代码仓库地址