Criptografando imagens da janela de encaixe (ponta a ponta); transportando através de canais offline

8

Estamos desenvolvendo e construindo imagens de janela de encaixe em nossa intranet e precisamos implantá-las em vários hosts que pertencem a nós (desenvolvedores, testes internos, testes externos e assim por diante). Alguns deles estão em nossa intranet, outros são acessíveis para terceiros na Internet.

A implantação final está dentro da intranet do cliente em vários nós (produção, diferentes estágios de teste). Eles estão protegidos por firewalls que não permitem que eles acessem coisas fora de sua intranet regularmente, ou seja, enquanto alguns deles podem acessar um registro externo para implantação, outros não e imagens precisam ser entregues manualmente por meio de um upload de software arcano ferramenta.

Estou procurando uma maneira de ter um registro na Internet (possivelmente executado por nós mesmos em algumas VMs lá fora, de preferência não) que permita que as imagens sejam armazenadas criptografadas (de preferência GPG ou similar, e não uma senha simples). Mas também poder simplesmente entregar "metade" das coisas por meio de algum mecanismo de upload manualmente. O cliente é muito paranóico, portanto, é importante manter a criptografia de ponta a ponta.

Existe uma ferramenta que vem à mente, que é perfeitamente capaz de lidar com isso? Uma solução seria espelhar o registro completo nas instalações do cliente em um host dedicado, mantendo a parte de criptografia intacta.

Uma solução "padrão" seria ótima, eu seria relutante em hackear algo juntos, se já houver algo mais enxuto / leve / estabelecido / estável.

EDITAR (+ editar no título): Um extenso esquema de permissão como o oferecido pelo Portus é um bom começo, mas eu estou procurando idealmente a criptografia de ponta a ponta das imagens reais. O cliente é ultra paranóico e está começando a usar o Docker, serviços baseados em nuvem etc.

docker  deployment  encryption 
AnoE
fonte
030
Obrigado, @ 030. Essa pergunta que você vinculou considera ocultar o material dos olhos dos usuários; minha pergunta é sobre ocultá-lo das pessoas ao longo do caminho (ou seja, não preciso criptografar em nenhum dos extremos, apenas ao transferi-lo através de algum registro).
AnoE
Está bem. Então, basicamente, você está procurando SSL para um registro do docker, como https, para um site?
030
@ 030, conforme indicado na pergunta,I am looking for a way to have a registry [...] which allows the images to be stored encrypted (preferably GPG or similar, not a simple password).
AnoE
030

Respostas:

2

O Google Container Registry é uma opção em potencial.

  1. Registro é privado
  2. As camadas de imagem são armazenadas em um bucket do Google Cloud Storage, criptografado pelo Google (RSA) e também pode ser criptografado com uma chave do cliente (RSA)
  3. O controle de acesso é granular até cada objeto individual armazenado no bucket do GCS
  4. A autenticação do lado do cliente é imposta pelo oauth2. Clientes configuram o docker para usar o google cloud sdk como um gerenciador de credenciais
  5. As imagens são extraídas através de conexões ssl

O fato de o registro fazer parte da Cloud Platform do Google também significa que você pode criar outras coisas interessantes. Por exemplo, você pode configurar uma VM para servir como proxy reverso e configurar o firewall GCP para permitir apenas 443 a partir de um determinado conjunto de IPs (como os escritórios de seus clientes).

tazer84
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.