Compartir comentarios
Las respuestas se generan en base a la documentación.

Comprender los roles y responsabilidades de las Docker Hardened Images

Tabla de contenidos

Las Docker Hardened Images (DHI) son seleccionadas y mantenidas por Docker, y se construyen utilizando componentes de código abierto ascendentes (upstream). Para ofrecer seguridad, confiabilidad y cumplimiento, las responsabilidades se comparten entre tres grupos:

  • Mantenedores ascendentes (upstream): los desarrolladores y las comunidades responsables del software de código abierto incluido en cada imagen.
  • Docker: el proveedor de imágenes de contenedor endurecidas, firmadas y mantenidas.
  • Tú (el cliente): el consumidor que ejecuta y, opcionalmente, personaliza las DHI en tu entorno.

Este tema describe quién se encarga de cada aspecto, para que puedas utilizar las DHI de manera efectiva y segura.

Publicaciones

  • Upstream: Publica y mantiene las versiones oficiales de los componentes de software incluidos en las DHI. Esto incluye el control de versiones, registros de cambios (changelogs) y avisos de obsolescencia.
  • Docker: Construye, endurece y firma las Docker Hardened Images basándose en las versiones ascendentes. Docker mantiene estas imágenes en línea con los plazos de publicación de upstream y las políticas internas.
  • Tú: Te aseguras de permanecer en versiones soportadas de las DHI y de los proyectos de upstream. El uso de componentes obsoletos o no soportados puede introducir riesgos de seguridad.

Aplicación de parches

  • Upstream: Mantiene y actualiza el código fuente de cada componente, incluyendo la corrección de vulnerabilidades en librerías y dependencias.
  • Docker: Reconstruye y publica de nuevo las imágenes con los parches ascendentes aplicados. Docker supervisa las vulnerabilidades y publica actualizaciones para las imágenes afectadas. DHI Select y DHI Enterprise incluyen compromisos de SLA. DHI Community ofrece una línea base segura pero sin plazos de remediación garantizados.
  • Tú: Aplicas las actualizaciones de DHI en tus entornos y parcheas cualquier software o dependencia que instales sobre la imagen base.

Pruebas

  • Upstream: Define el comportamiento y la funcionalidad del software original, y es responsable de validar las características principales.
  • Docker: Valida que las DHI se inicien, ejecuten y se comporten de manera consistente con las expectativas de upstream. Docker también realiza escaneos de seguridad e incluye una atestación de pruebas con cada imagen.
  • Tú: Pruebas tu aplicación sobre las DHI y validas que cualquier cambio o personalización funcione como se espera en tu entorno.

Seguridad y cumplimiento

  • Docker: Publica SBOM firmadas, documentos VEX, datos de procedencia y resultados de escaneo de CVE con cada imagen para respaldar el cumplimiento y la seguridad de la cadena de suministro.
    • Para usuarios de DHI Community: Todos los metadatos de seguridad y las características de transparencia se incluyen sin costo alguno.
    • Para usuarios de DHI Select y Enterprise: Se dispone de variantes de cumplimiento adicionales (como FIPS y STIG) y capacidades de personalización, con reconstrucciones automáticas cuando se parchean las imágenes base.
  • Tú: Integras las DHI en tus flujos de trabajo de seguridad y cumplimiento, incluyendo la gestión de vulnerabilidades y las auditorías.

Soporte

  • Docker:
    • Para usuarios de DHI Community: Se ofrece soporte de la comunidad y documentación pública.
    • Para usuarios de DHI Select y DHI Enterprise: Acceso al equipo de soporte empresarial de Docker para aplicaciones de misión crítica.
  • Tú: Supervisas las notas de publicación, los avisos de seguridad y la documentación de Docker para estar al tanto de las actualizaciones y las mejores prácticas.

Resumen

Las Docker Hardened Images te ofrecen una base segura, completa con metadatos firmados y transparencia ascendente. Tu función consiste en hacer un uso informado de estas imágenes, aplicar las actualizaciones a la brevedad y validar que tus configuraciones y aplicaciones cumplan con tus requisitos internos.