Υπηρεσίες διαφάνειας για την ασφάλεια των kubernetes image registries

Abstract

Η συνεχώς αυξανόμενη ανάπτυξη των τεχνολογιών λογισμικού και η εξάρτηση τους από βιβλιοθήκες, πακέτα και υποδομές τρίτων έχει οδηγήσει σε σημαντικούς κινδύνους στην αλυσίδα εφοδιασμού λογισμικού. Η ασφάλεια δεν εξαρτάται πλέον μόνο από την σωστή ανάπτυξη κώδικα αλλά καλύπτει ολόκληρη τη διαδικασία, από τη δημιουργία και την διάθεση μιας εφαρμογής έως και τον τρόπο εκτέλεσης της. Η εμφάνιση επιθέσεων που εκμεταλλεύονται την εμπιστοσύνη που έχουμε σε τρίτα μέρη, όπως είναι οι πρόσφατες επιθέσεις στο Npm καθώς επίσης και το περιστατικό του SolarWinds, είναι η απόδειξη ότι η παραδοσιακή λογική της εμπιστοσύνης χωρίς επαλήθευση δεν επαρκεί. Η παρούσα διπλωματική εργασία εστιάζει στην ενσωμάτωση του οικοσυστήματος Sigstore, που είναι ένα έργο ανοιχτού κώδικα, σε περιβάλλον Kubernetes, με σκοπό να ενισχυθεί η ασφάλεια και η διαφάνεια στην διανομή των container images. Το Sigstore, αξιοποιεί τις υπηρεσίες Fulcio, Rekor και cosign ώστε να γίνεται δυνατή η δημιουργία και επαλήθευση ψηφιακών υπογραφών χωρίς να χρειάζεται η χρήση μόνιμων κλειδιών. Μέσω των παραπάνω υπηρεσιών, οι υπογραφές των artifacts συνδέονται με επαληθεύσιμες ταυτότητες μέσω OIDC και καταγράφονται σε δημόσια, αμετάβλητα transparency log. Στο πρακτικό μέρος γίνεται διερεύνηση της πρακτικής ενσωμάτωσης του sigstore σε ένα ασφαλές περιβάλλον Kubernetes, με χρήση private registry για την αποθήκευση των container images και αξιοποίηση policy controllers για την επιβολή κανόνων επαλήθευσης υπογραφών. Επιπλέον, αναπτύσσεται ένα εργαλείο watcher, το οποίο εντοπίζει αυτόματα μη επαληθευμένα images και τα αφαιρεί, συμβάλλοντας στη διατήρηση ενός καθαρού και ασφαλούς registry.

The continuously growing development of software technologies and their dependency on third-party libraries, packages, and infrastructures have introduced significant risks within the software supply chain. Security no longer depends solely on proper code development but now encompasses the entire process from the creation and distribution of an application to the way it is executed. The emergence of attacks that exploit the inherent trust in third parties, such as the recent npm incidents and the SolarWinds compromise, demonstrates that the traditional model of trust without verification is no longer sufficient. This thesis focuses on the integration of the Sigstore ecosystem, an open-source project into a Kubernetes environment, aiming to enhance security and transparency in the distribution of container images. Sigstore leverages the Fulcio, Rekor and Cosign services to enable the creation and verification of digital signatures without the need for permanent key management. Through these services, artifacts signatures are associated with verifiable identities via OpenID Connect (OIDC) and are recorded in public, immutable transparency logs. In the practical part, the thesis explores the integration of Sigstore within a secure Kubernetes environment using a private registry for storing container images and employing policy controllers to enforce signature verification rules. Additionally, a watcher tool is developed, which automatically detects unverified images and removes them, contributing to the maintenance of a clean and secure registry.