Compartir comentarios
Las respuestas se generan en base a la documentación.

Características de Docker Hardened Images

Tabla de contenidos

Docker Hardened Images (DHI) son imágenes base y de aplicación mínimas, seguras y listas para producción mantenidas por Docker. Diseñadas para reducir las vulnerabilidades y simplificar el cumplimiento, DHI se integra de forma directa en tus flujos de trabajo basados en Docker existentes sin apenas requerir adaptaciones.

DHI proporciona seguridad para todos:

  • DHI Community proporciona características de seguridad esenciales disponibles para todo el mundo sin restricciones de licencia bajo la licencia Apache 2.0.
  • DHI Select y DHI Enterprise añaden actualizaciones de seguridad respaldadas por SLA, variantes de cumplimiento FIPS/STIG y capacidades de personalización; DHI Enterprise ofrece personalización ilimitada, acceso completo al catálogo y Soporte de Ciclo de Vida Extendido (ELS) opcional para cobertura tras el fin de la vida útil (EOL).

Características de DHI Community

Las características principales de DHI son abiertas y gratuitas para usar, compartir y construir sobre ellas sin sorpresas en las licencias, respaldadas por una licencia Apache 2.0.

Seguridad por defecto

  • Casi cero CVE: Escaneadas y parcheadas de forma continua para mantener el mínimo de vulnerabilidades explotables conocidas, sin compromisos de tiempo respaldados por SLA para los usuarios de DHI Community.
  • Superficie de ataque mínima: Las variantes distroless reducen la superficie de ataque hasta en un 95% al eliminar componentes innecesarios.
  • Ejecución no root: Se ejecutan como no root por defecto, siguiendo el principio de mínimo privilegio.
  • Informes de vulnerabilidades transparentes: Cada CVE es visible y se evalúa utilizando datos públicos, sin feeds suprimidos ni puntuaciones propietarias.

Paquetes del sistema securizados

Docker Hardened Images mantiene la integridad de la cadena de suministro en toda la pila de la imagen mediante paquetes del sistema securizados:

  • Paquetes compilados desde el código fuente: Para las distribuciones compatibles, Docker compila los paquetes del sistema a partir de su código fuente.
  • Firmas criptográficas: Cada paquete está firmado criptográficamente y verificado.
  • Seguridad de la cadena de suministro: Elimina el riesgo derivado de paquetes públicos potencialmente comprometidos.

Los paquetes del sistema securizados se incluyen en las distribuciones compatibles de las imágenes DHI. Los usuarios de Community también pueden configurar su gestor de paquetes para utilizar el repositorio público de paquetes securizados de Docker en sus propias imágenes para los mismos paquetes incluidos en las imágenes base. Consulta Usar paquetes del sistema securizados para más detalles.

Transparencia total

Cada imagen incluye metadatos de seguridad completos y verificables:

  • Procedencia SLSA Build Level 3: Compilaciones verificables y resistentes a manipulaciones que cumplen con los estándares de seguridad de la cadena de suministro.
  • SBOM firmadas: Lista de materiales de software completa para cada componente.
  • Declaraciones VEX: Los documentos Vulnerability Exploitability eXchange proporcionan contexto sobre los CVE conocidos.
  • Firmas criptográficas: Todas las imágenes y metadatos están firmados para garantizar su autenticidad.

Diseñado para desarrolladores

  • Bases familiares: Construidas sobre Alpine y Debian, lo que requiere cambios mínimos para su adopción.
  • Soporte para glibc y musl: Disponible en ambas variantes para una amplia compatibilidad de aplicaciones.
  • Variantes de desarrollo y ejecución: Usa imágenes dev para la compilación e imágenes de ejecución mínimas para producción.
  • Compatibilidad directa: Funciona perfectamente con los flujos de trabajo de Docker, pipelines de CI/CD y herramientas existentes.

Mantenimiento continuo

  • Parches automáticos: Las imágenes se vuelven a compilar y se actualizan cuando los parches de seguridad upstream están disponibles, sin compromisos de tiempo respaldados por SLA para los usuarios de DHI Community.
  • Integración de escáneres: Integración directa con escáneres y otras plataformas de seguridad.

Soporte para Kubernetes y Helm charts

Los charts de Docker Hardened Image (DHI) son Helm charts proporcionados por Docker compilados a partir de fuentes ascendentes (upstream) y diseñados para ser compatibles con Docker Hardened Images. Estos charts están disponibles como artefactos OCI dentro del catálogo de DHI en Docker Hub. Los charts de DHI se prueban exhaustivamente después de su compilación para garantizar que funcionen directamente con Docker Hardened Images. Esto elimina fricciones en la migración y reduce la carga de trabajo de los desarrolladores al implementar los charts, garantizando una compatibilidad perfecta.

Al igual que las imágenes securizadas, los charts de DHI incorporan múltiples capas de metadatos de seguridad para garantizar la transparencia y la confianza:

  • Cumplimiento de SLSA Nivel 3: Cada chart se compila con el sistema SLSA Build Level 3 de Docker, lo que incluye una procedencia detallada de la compilación y cumple con los estándares establecidos por el framework Supply-chain Levels for Software Artifacts (SLSA).
  • Lista de materiales de software (SBOM): Se proporcionan SBOM completas que detallan todos los componentes referenciados dentro del chart para facilitar la gestión de vulnerabilidades y las auditorías de cumplimiento.
  • Firma criptográfica: Todos los metadatos asociados están firmados criptográficamente por Docker, lo que garantiza su integridad y autenticidad.
  • Configuración securizada: Los charts hacen referencia automáticamente a imágenes securizadas de Docker, garantizando la seguridad en los despliegues.

Características de DHI Select y Enterprise

Para organizaciones con requisitos de seguridad estrictos, demandas regulatorias o necesidades operativas, DHI Select y Enterprise ofrecen capacidades adicionales.

DHI Select ofrece personalizaciones, variantes de cumplimiento y actualizaciones respaldadas por SLA para equipos y organizaciones con cargas de trabajo de producción. DHI Enterprise incluye todo lo de Select con personalizaciones ilimitadas, además de un complemento opcional de Soporte de Ciclo de Vida Extendido y acceso completo al catálogo para grandes empresas con necesidades avanzadas de seguridad.

Para una comparación detallada, consulta la comparación de suscripciones de Docker Hardened Images.

Seguridad respaldada por SLA DHI Select o DHI Enterprise

  • SLA de remediación de CVE: SLA de 7 días para vulnerabilidades de gravedad crítica y alta.
  • Parches continuos: Actualizaciones de seguridad regulares respaldadas por compromisos de SLA.
  • Soporte empresarial: Acceso al equipo de soporte de Docker para aplicaciones de misión crítica.

Para obtener todos los detalles, consulta el Acuerdo de Nivel de Servicio de Soporte.

Variantes de cumplimiento DHI Select o DHI Enterprise

  • Imágenes habilitadas para FIPS: Para industrias reguladas y sistemas gubernamentales.
  • Imágenes listas para STIG: Cumplen con los requisitos de la Guía de Implementación Técnica de Seguridad (STIG) del Departamento de Defensa de EE. UU.

Personalización y control DHI Select o DHI Enterprise

  • Compilar imágenes personalizadas: Añade tus propios paquetes, herramientas, certificados y configuraciones.
    • DHI Select: Hasta 5 personalizaciones.
    • DHI Enterprise: Personalizaciones ilimitadas.
  • Paquetes securizados: Acceso a paquetes específicos de cumplimiento adicionales (como variantes FIPS) y paquetes parcheados por Docker que no están disponibles en el repositorio público.
    • DHI Select: Añade estos paquetes a través de la interfaz de usuario de personalización al personalizar imágenes securizadas.
    • DHI Enterprise: Añade estos paquetes a través de la interfaz de usuario de personalización o configura tu gestor de paquetes para usar el repositorio de paquetes empresarial en tus propias imágenes.
  • Infraestructura de compilación segura: Personalizaciones compiladas en la infraestructura de confianza de Docker.
  • Cadena de confianza completa: Las imágenes personalizadas mantienen la procedencia y la firma criptográfica.
  • Actualizaciones automáticas: Las imágenes personalizadas se vuelven a compilar automáticamente cuando se parchean las imágenes base.

Soporte de Ciclo de Vida Extendido Complemento de DHI Enterprise

  • Cobertura de seguridad post-EOL: Continúa recibiendo parches durante años después de que finalice el soporte upstream.
  • Cumplimiento continuo: SBOM, procedencia y firmas actualizadas para requisitos de auditoría.
  • Continuidad de producción: Mantén la producción funcionando de forma segura sin migraciones forzadas.

Más información