Docker: Impedir o uso de imagem remota

O Docker Content Trust pode ajudar

O Docker Content Trust (DCT) oferece a capacidade de usar assinaturas digitais para dados enviados e recebidos de registros remotos do Docker. Essas assinaturas permitem a verificação, no lado do cliente ou em tempo de execução, da integridade e do publicador de tags de imagem específicas.

No seu caso, você pode assinar a imagem base da compilação local aCommonImageName. O processo de compilação será abortado se a imagem extraída aCommonImageNamedos registros remotos não tiver uma assinatura válida.

Detalhes

Ver

• https://docs.docker.com/engine/security/trust/
• https://www.cncf.io/blog/2021/07/28/enforcing-image-trust-on-docker-containers-using-notary/

Há algumas coisas que você quer fazer:

1. Regras de rede de saída. Não permita que seus servidores de produção (e o CI conta como produção) se conectem a servidores arbitrários na internet. Controlar o tráfego de saída previne um número significativo de ataques.

2. Não abuse de nomes comuns para imagens. A FROMimagem deve sempre apontar para um local conhecido, controlado por alguém em quem você confia. Para imagens que você não deseja publicar publicamente, você pode apontar para um servidor de registro privado ou, pelo menos, nomear as imagens com um nome de registro e organização que você controla. Por exemplo, se você é o proprietário da organização company-xno Docker Hub, ninguém de fora da sua organização deve conseguir fazer push company-x/base-image-y, e você pode usar esse nome com segurança, mesmo que nunca faça push base-image-y.

3. Melhor ainda, você deve fixar essas referências em um resumo sha256 e automatizar a atualização desses pinos. Assim, as únicas imagens usadas como imagem base serão aquelas que você pré-aprovou, mesmo que o repositório tenha sido comprometido.