20、容器基础镜像选择与通用基础镜像介绍

容器基础镜像选择与通用基础镜像介绍

1. 选择可信的容器镜像源

OCI 镜像用于在结构化文件系统中打包二进制文件和运行时，以提供特定服务。当我们不加控制地拉取并运行镜像时，就默认信任作者没有使用恶意组件篡改其内容。但如今，信任并非易事。容器存在许多攻击用例和恶意行为，如权限提升、数据泄露和挖矿等，在 Kubernetes 集群中运行的容器更容易跨基础设施生成恶意 Pod。

为帮助安全团队缓解此类问题，MITRE 公司定期发布 MITRE ATT&CK 矩阵，以识别所有可能的攻击策略及其相关技术、实际用例以及检测和缓解的最佳实践。其中一个矩阵专门针对容器，许多技术基于不安全的镜像实施，恶意行为可借此成功进行。

1.1 重要提示

应优先选择来自支持漏洞扫描的镜像仓库的镜像。若有扫描结果，需仔细检查，避免使用存在严重漏洞的镜像。创建安全的云原生基础设施的第一步是选择仅来自可信源的镜像，而首要步骤是配置可信仓库并设置规则以阻止不可信的仓库。

2. 管理可信仓库

Podman 可以使用配置文件管理可信仓库。 /etc/containers/registries.conf 文件（若存在，用户相关的 $HOME/.config/containers/registries.conf 文件会覆盖该文件）管理着 Podman 可以安全访问以搜索和拉取镜像的可信仓库列表。

以下是该文件的一个示例：

unqualified-search-registries =