Warum Golden Images immer noch wichtig sind und wie man sie mit Chainguard absichert
Golden Images (für den On-Premises-Einsatz) und Golden VMs (für Cloud-Computing-Plattformen wie AWS oder Microsoft Azure) tragen dazu bei, Sicherheitslücken zu reduzieren und Arbeitsabläufe zu optimieren. Herkömmliche Golden-Image-Programme verursachen jedoch übermäßigen Aufwand und Verzögerungen, weshalb sie bei einigen einen schlechten Ruf genießen. Chainguard ist eine robuste Alternative zu selbst erstellten Golden Images, die dabei hilft, Zeit zu sparen, die Qualität zu verbessern und Sicherheitsrisiken zu minimieren.
Was ist ein Golden Image?
Ein Golden Image (auch als „Universal Image“, „Master Image“, „Base Image“, „Custom Image“ oder „Template“ bezeichnet) ist eine bitgenaue, verwaltete Kopie einer virtuellen Maschine oder eines Software-Containers. Golden Images werden zur Bereitstellung von Systeminfrastruktur verwendet, einschließlich Versionen für Microsoft, Linux und andere Betriebssysteme, sowie zur Unterstützung neuer und bestehender Anwendungen. Sie bieten eine geprüfte Infrastruktur, der Teams vertrauen können, wodurch Risiken reduziert und gleichzeitig die Entwicklung beschleunigt wird.
Da Teams an der Automatisierung von Software-Pipelines arbeiten, gewinnen Golden Images noch mehr an Bedeutung. Sie unterstützen eine moderne DevOps-Pipeline und erfüllen das Bedürfnis der Entwickler nach Geschwindigkeit und Vorhersehbarkeit sowie die Anforderungen des Sicherheitsteams an eine verifizierte, richtlinienkonforme Infrastruktur.
Interne Bemühungen zur Erstellung, Verwaltung, Wartung und Unterstützung der gewünschten Golden Images können jedoch eher belastend als vorteilhaft werden. In diesem Artikel beschreiben wir die Bedeutung gut verwalteter Golden-Image-Programme und wie Chainguard eine entscheidende Rolle bei der Unterstützung der Distribution und Entwicklung von Open-Source-Software spielt.
Warum Golden-Image-Programme für moderne Softwareorganisationen entscheidend sind
Ein robustes Golden-Image-Programm ist für die moderne Softwareentwicklung und -bereitstellung unerlässlich. In einem gut verwalteten Programm wird jedes Golden Image kontinuierlich neu erstellt, bei Bedarf gepatcht, signiert, gescannt und versioniert. Jedes Image enthält eine Software-Stückliste (SBOM) und Attestierungen, die widerrufen werden, wenn Schwachstellen gefunden werden.
Es ist wichtig, diesen Prozess zu automatisieren. Befolgen Sie diese Richtlinien bei der Erstellung Ihrer Vorlagen:
Verstehen Sie, was Ihr Programm liefern muss. Schaffen Sie zusätzlichen Mehrwert, indem Sie als zentraler Katalog für signierte, gehärtete und minimale Basis-Images fungieren. Beziehen Sie Herkunftsnachweise (wie SLSA oder in-toto) ein und unterstützen Sie ein Zielbetriebssystem, wie Microsoft, alle vordefinierten APIs und/oder Cloud-Umgebungen wie AWS.
Machen Sie es zu einem Compliance-Beschleuniger. Unterstützen Sie spezifische Merkmale sicherer Master-Images, einschließlich FIPS-validierter Kryptografie, STIG-Härtung und kontinuierlicher CVE-Behebung, gemäß den gängigen Kontrollen in Frameworks wie ISO-Standards, NIST 800-53 oder CMMC; schließen Sie Schritte wie die Antiviren-Prüfung ein.
Nutzen Sie einen modernen Ansatz. Befolgen Sie Schlüsselprinzipien, wie sie im Golden Image Best Practices Guide von Chainguard beschrieben sind. Die Prinzipien legen Ziele in den Bereichen Personal, Prozesse und Technologie fest.
Das Problem mit herkömmlichen Golden-Image-Programmen
Viele Golden-Image-Prozesse sind unzureichend oder gar nicht definiert; einige wenige Personen erledigen die Arbeit in ihrer Freizeit, mit vorhersehbar unvorhersehbaren Ergebnissen. Dieser verbreitete, aber problematische Ansatz wird als „Golden-Image-Falle“ bezeichnet.
Golden-Image-Programme müssen sich weiterentwickeln, um den Anforderungen moderner, sich schnell verändernder, containerisierter Umgebungen gerecht zu werden. Hier sind einige Grundlagen, die man beachten sollte:
Ihr Golden Image ist nur so stark wie seine Lieferkette. Eine schwache Lieferkette bei der Image-Erstellung ermöglicht das Einschleichen menschlicher Fehler. Wenden Sie Sicherheitspatches gleich zu Beginn an. Verwenden Sie kryptografische Signaturen, um jede Komponente zu schützen.
Ein minimalistisches Image ist ein sicheres Image. Ein minimales Release weist weniger potenzielle CVEs auf, was weniger Rauschen für Sicherheitsscanner, schnellere Build- und Scan-Zeiten sowie vereinfachte Audit-Trails bedeutet. Vermeiden Sie unnötige Paketmanager oder Shells.
Wechseln Sie zur Eliminierung von Schwachstellen statt zu deren Verwaltung. Verfolgen Sie einen Zero-Trust-Ansatz, bei dem das Golden Image nachweislich frei von bekannten Schwachstellen ist. Reduzieren Sie den betrieblichen Aufwand eines typischen „Scan-and-Patch“-Zyklus.
Die Golden-Image-Falle in Aktion
Um zu sehen, wie sich die „Golden-Image-Falle“ auf viele Unternehmen auswirkt, begleiten wir das Team von EasyCoderz.ai, einem fiktiven Tech-Startup, durch einen typischen Build-Prozess:
Vor dem Build. Die EasyCoder halten Augen und Ohren offen für Neuigkeiten über Änderungen und CVEs, wenn sie Zeit haben. Dann führt die bevorstehende Einführung eines neuen Produkts zu einer Anforderung für ein benutzerdefiniertes Image, auf dem das neue Produkt aufgebaut werden soll.
Build. Teammitglieder stellen aktuelle Versionen von Softwarekomponenten und relevante Patches zusammen. Sie erstellen dann einen Build mit diesen Komponenten, den das Produktteam übernimmt und zu nutzen beginnt.
Harden. Teammitglieder überprüfen den Build und führen vorgeschriebene Schritte aus, um nach Kräften sicherzustellen, dass er aktuell, sicher, zuverlässig und gut dokumentiert ist, selbst wenn neue CVEs auftauchen.
Test. Teammitglieder führen Standard- und Ad-hoc-Tests durch, um bekannte Problembereiche zu prüfen. Sie passen den Build an, um Schwachstellentests zu bestehen, haben aber keine Zeit für eine Ursachenanalyse der Testfehler.
Deploy. Das neue Image führt zu mehreren Problemberichten, was weitere Zyklen in den Phasen „Harden“ und „Test“ zur Folge hat.
Neglect. Das Produkt wird aufgrund des Hin und Hers bei den Golden Images mit mehreren Wochen Verspätung eingeführt. Das Team stellt die Arbeit an den Golden Images zurück, um aufgeschobene Aufgaben nachzuholen und Stress abzubauen.
Der Zyklus beginnt von Neuem, sobald die nächste dringende Anfrage eingeht.
Wo Chainguard ansetzt
Das Erlernen der Anforderungen für einen wirklich aktuellen Ansatz für das Golden-Image-Management – mit Anforderungen, die erfüllt werden müssen, um betrieblichen Erfolg zu erzielen, eine sichere Betriebsumgebung zu unterstützen und die Auditierbarkeit zu gewährleisten – ist ein anstrengender und fehleranfälliger Prozess.
Chainguard ist eine Lösung, die den mühsamen Aufwand, die Verwirrung und die Sicherheitsschulden beseitigt, die mit dem eigenhändigen (DIY) Golden-Image-Management einhergehen.
Moderne Engineering-Teams nutzen Chainguard Containers und Chainguard VMs, um eine minimale, sichere Zero-CVE-Basis zu erhalten, ohne die repetitive Arbeit des Erstellens, Patchens sowie des Verifizierens und erneuten Verifizierens von Images. Chainguard bietet tägliche Rebuilds und einen durch SLAs abgesicherten Patch-Zeitplan, wodurch das Image-Management zu einem zuverlässigen Service wird.
Für Cloud-Infrastrukturen bieten Chainguard VMs die gleichen Vorteile. Chainguard VMs sind gehärtete Betriebssystem-Images, die speziell für sichere, containerisierte Workloads in regulierten Umgebungen entwickelt wurden.
Dieser „Secure-by-Default“-Ansatz hilft Kunden dabei, Compliance-Ziele wie FedRAMP, SOC2 und CMMC schneller zu erreichen, wodurch Ingenieure entlastet werden und sich auf Innovationen konzentrieren können.
Sie können mehr erfahren, indem Sie sich die Aufzeichnung unseres Webinars zu Golden Images ansehen. Laden Sie unseren Golden Image Best Practices Guide herunter, um mehr darüber zu erfahren, wie Sie Ihre Golden-Image-Pipelines weiterentwickeln können.
FAQs
Wie erstellt man ein sicheres Golden Image?
Die Erstellung eines sicheren Golden Images erfolgt in fünf Schritten: Identifizieren Sie nur die Software, die Sie unbedingt benötigen, um ein minimalistisches Image zu erstellen; erstellen Sie einen Build mit aktuellen Versionen der ausgewählten Software; härten Sie den Build, damit er geltenden Compliance-Standards wie NIST, PCI DSS oder HIPAA entspricht; testen Sie den gehärteten Build; und setzen Sie Sicherheitstechniken wie kryptografische Signaturen ein, um das Golden Image vor Manipulationen zu schützen.
Was ist der Unterschied zwischen einem Golden Image und einem Container-Image?
Ein Container-Image ist schlichtweg eine bitgenaue Kopie eines Containers. Ein Golden Image sollte viele zusätzliche Schritte durchlaufen, um sicherzustellen, dass das Endergebnis unter anderem minimalistisch, sicher und gut dokumentiert ist. Die bloße Verwendung eines Container-Images als Golden Image birgt viele Risiken.
Warum werden Golden Images im Laufe der Zeit riskant?
Golden Images werden im Laufe der Zeit riskant, weil sie bei Sicherheits- und Funktions-Updates ins Hintertreffen geraten und den Sicherheitsteams einen zunehmenden Arbeitsaufwand aufbürden, da diese zusätzliche Zeit und Mühe investieren müssen, um das Image auf den neuesten Stand zu bringen. Diese schwerwiegenden Bedenken erfordern häufige Aktualisierungen jedes Golden Images, um sicherzustellen, dass neue Software, die auf dem Golden Image basiert, sicher, funktionsreich und zeitnah fertiggestellt werden kann.
Benötige ich immer noch Golden Images, wenn ich Infrastructure as Code (IaC) verwende?
Ja. Die Notwendigkeit, Golden Images oder Golden VMs für Infrastructure as Code (IaC) zu verwenden, ist genauso groß wie bei anderer Software, wenn nicht sogar größer. Systeminfrastruktur unterstützt in jeder Form eine endlose Reihe wichtiger Funktionalitäten. Wenn Probleme in der Infrastruktur auftreten, können sie weitreichende Auswirkungen haben und sind oft nur sehr schwer zu finden. Daher erfordert IaC Golden Images von höchster Qualität, um Implementierungsteams dabei zu unterstützen, ein sicheres, funktionsreiches und zuverlässiges Ergebnis zu liefern.
Was sollte in einem modernen Golden Image enthalten sein?
So wenig wie möglich. Minimalistische Golden Images, die nur die für ein bestimmtes Infrastrukturprojekt oder eine App benötigten unterstützenden Softwareelemente enthalten, sind einfacher zu sichern und zu testen, weisen eine geringere Wahrscheinlichkeit für Bugs auf und bieten eine kleinere Angriffsfläche für zukünftige Sicherheitsprobleme.
Wie kann Chainguard beim Management von Golden Images helfen?
Chainguard bietet Chainguard Containers und Chainguard VMs an: vorgefertigte, aktuelle, Zero-CVE, moderne Golden Images, die den Aufwand und die Sorgen eliminieren, die mit der internen Erstellung von Golden Images verbunden sind. Chainguard Golden Images helfen Unternehmen dabei, sichere und zuverlässige Software innerhalb vorhersehbarer Zeit- und Kostenrahmen bereitzustellen.
Share this article
Verwandte Artikel
- Maschinenbau
Securing the next Moon Age: Automated compliance powers the next giant leap
Collin Estes, Technical Director - NASA's Mission Enabling Services Contract, MRI Technologies
- Maschinenbau
Managing third-party images at scale
Abdullah Munawar, Director of Product Security, Appian
- Maschinenbau
Ship and patch doesn't cut it in the AI era
Dan Lorenc, Co-founder and CEO
- Maschinenbau
Removing supply chain friction: How PeopleTec improved developer productivity with Chainguard
Brandon Heard, Technical Leader, Cloud and Infrastructure, PeopleTec
- Maschinenbau
Breaking the release monolith: How OutSystems platform engineering restored trust in delivery
Maria Chec, Technical Program Manager, OutSystems, and João Brandão, Release Engineering Director, OutSystems
- Maschinenbau
Owning the boundary: Introducing the Chainguard FIPS Provider for OpenSSL 3.4.0
Dimitri John Ledkov, Senior Principal Software Engineer, and Mandy Hubbard, Senior Technical Product Marketing Manager