Docker Content Trust (ডকার কন্টেন্ট ট্রাস্ট)
পাবলিক রেজিস্ট্রিতে লক্ষ লক্ষ ইমেজ রয়েছে। কিন্তু আমরা কীভাবে নিশ্চিত হব যে আমরা যে ইমেজটি পুল (Pull) করছি সেটি আসল ডেভেলপারের তৈরি এবং মাঝপথে কেউ এটি পরিবর্তন করেনি? এই নিরাপত্তা নিশ্চিত করার জন্য ডকার ব্যবহার করে Docker Content Trust (DCT)।
১. কন্টেন্ট ট্রাস্ট কি?
ডকার কন্টেন্ট ট্রাস্ট হলো একটি সিকিউরিটি ফিচার যা ডিজিটাল সিগনেচার (Digital Signature) ব্যবহার করে ইমেজের বিশুদ্ধতা এবং অরিজিন ভেরিফাই করে। এটি নিশ্চিত করে যে:
- ইমেজটি কোনো ট্রাস্টেড পাবলিশার দ্বারা সাইন (Sign) করা।
- ডকার হাবে থাকা ইমেজ এবং আপনার পুল করা ইমেজের ডাটা একই।
২. কন্টেন্ট ট্রাস্ট সক্রিয় করা
ডিফল্টভাবে ডকারে কন্টেন্ট ট্রাস্ট বন্ধ থাকে। এটি সক্রিয় করতে এনভায়রনমেন্ট ভেরিয়েবল সেট করতে হয়:
লিনাক্স বা ম্যাক-এ:
export DOCKER_CONTENT_TRUST=1উইন্ডোজ (PowerShell):
$env:DOCKER_CONTENT_TRUST=1একবার এটি সক্রিয় করলে, আপনি কোনো আনসাইন করা (Unsigned) ইমেজ পুল করতে পারবেন না।
৩. ইমেজ সাইনিং (Image Signing)
যখন আপনি কন্টেন্ট ট্রাস্ট অন রেখে কোনো ইমেজ বিল্ড এবং পুশ করেন, ডকার আপনাকে ইমেজটি সাইন করতে বলবে। এর জন্য একটি Notary সার্ভার ব্যবহৃত হয়।
- ইমেজ পুশ করার সময় ডকার আপনার কাছে একটি 'Root Key' এবং 'Repository Key' চাইবে।
- এই কি (Key) গুলো আপনার লোকাল মেশিনে সংরক্ষিত থাকে।
৪. নোটারি সার্ভার (Notary Server)
নোটারি একটি ওপেন সোর্স প্রজেক্ট যা ডকার ইমেজের সিগনেচার এবং ট্রাস্ট রিলেটেড মেটাডাটা ম্যানেজ করে। বড় কোম্পানিগুলো সাধারণত নিজেদের প্রাইভেট নোটারি সার্ভার ব্যবহার করে যাতে ইন্টারনাল ইমেজগুলোর নিরাপত্তা নিশ্চিত থাকে।
৫. ট্রাস্ট এনফোর্সমেন্ট (Enforcement)
যদি কোনো ইমেজের সিগনেচার না থাকে বা সিগনেচার যদি ইমেজের সাথে না মেলে:
- ডকার ইঞ্জিন ইমেজটি রান করতে বাধা দেবে।
- এরর মেসেজ দেখাবে:
Error: remote trust data does not exist.
৬. সুবিধা
১. Security: সাপ্লাই চেইন অ্যাটাক (Supply Chain Attack) থেকে রক্ষা করে। 2. Integrity: নিশ্চিত করে যে ট্রানজিটের সময় ইমেজের কোনো লেয়ার পরিবর্তিত হয়নি। 3. Control: এডমিনরা চাইলে এনফোর্স করতে পারেন যে ক্লাস্টারে নির্দিষ্ট সাইন করা ইমেজ ছাড়া অন্য কিছু চলবে না।
সারাংশ
প্রোডাকশন এনভায়রনমেন্টে ইমেজ সিকিউরিটি নিশ্চিত করার জন্য ডকার কন্টেন্ট ট্রাস্ট একটি অতি প্রয়োজনীয় ফিচার। এটি নিশ্চিত করে যে প্রতিটি কন্টেইনার একটি বিশ্বস্ত উৎস থেকে আসছে।