Container Registry: Gerenciando Imagens com Harbor, ECR e GHCR
Por que o Registry é Crítico na Supply Chain
Imagens de container são a unidade fundamental de deploy em ambientes cloud-native. Um registry comprometido pode injetar código malicioso em toda a frota de produção. Por isso, o Container Registry é um componente crítico de segurança — não apenas de infraestrutura. Harbor, ECR (AWS), ACR (Azure) e GHCR (GitHub) são as principais opções, cada uma com recursos diferentes de segurança, RBAC e integração com pipelines CI/CD.
📊 Segurança de Container Registry — 2025
Harbor: O Registry Enterprise Open Source
Harbor é o registry open source da CNCF mais adotado em ambientes enterprise. Oferece: RBAC por projeto e repositório; replicação entre registries (geo-distribution); scanning de vulnerabilidades integrado (Trivy/Clair); assinatura de imagens com Notary; webhook para pipelines CI/CD; e interface web intuitiva. Pode ser implantado on-premises ou em cloud, atende requisitos de compliance e não tem custo de licença por pull, ao contrário do Docker Hub.
Vulnerability Scanning
Trivy e Clair escaneiam imagens contra bases de CVE e alertam ou bloqueiam deploy de imagens com vulnerabilidades críticas.
Image Signing (Cosign)
Assine imagens com Cosign/Sigstore. Policies de admissão no K8s (Kyverno/OPA) rejeitam imagens não assinadas.
RBAC Granular
Controle quem pode push, pull e delete por projeto. Integre com LDAP/OIDC corporativo para autenticação.
Replicação
Replique imagens automaticamente entre registries em diferentes regiões para DR e redução de latência de pull.
Garbage Collection
Políticas de retenção removem imagens antigas automaticamente, controlando uso de storage e custo.
Audit Log
Registro completo de quem fez push, pull ou delete de cada imagem — essencial para forensics e compliance.
⚠️ Boas Práticas de Segurança para Registry
Use apenas imagens base de fontes oficiais (Docker Official Images, Distroless, Red Hat UBI). Audite regularmente.
Integre scanning de vulnerabilidades no pipeline — falhe o build para CVEs críticas antes que a imagem chegue ao registry.
Tags imutáveis (hash SHA256) garantem que o mesmo artefato é sempre deployado. Latest pode mudar silenciosamente.
Service accounts para pull de imagens devem ter credenciais rotativas e escopo mínimo (pull-only, por namespace).
Cada imagem que chega à produção é um artefato de confiança. Um registry seguro é a última linha de defesa da sua supply chain.
— iSecPlus DevSecOps Team, 2026
Integrando Registry com Kubernetes
Em Kubernetes, configure imagePullSecrets para autenticar com registries privados. Use Kyverno ou OPA Gatekeeper para enforcement de políticas: apenas imagens do registry corporativo são permitidas, sem vulnerabilidades críticas, apenas imagens assinadas. A integração com ArgoCD e Flux permite deploy contínuo quando novas imagens são publicadas. Para ambientes air-gapped, Harbor com replicação one-way é a solução padrão para manter o catálogo interno atualizado sem conectividade direta à internet.
