摘要:安全基准测试工具互联网安全中心为容器安全提供了指导方针,这一方针已被和类似的安全基准工具所采用。该容器安全工具可以利用机器学习提供自适应威胁保护这是一个可以扫描容器镜像的托管安全解决方案,它甚至可以允许企业在它们的环境内执行安全策略。
在Docker容器技术兴起的初期,对于许多企业而言,容器安全问题一直是他们在生产环境中采用Docker的一大障碍。然而,在过去的一年中,许多开源项目、初创公司、云供应商甚至是Docker公司自己,已经开始打造用于强化Docker环境的新解决方案,关于容器安全的担忧及挑战正在被逐渐解决。如今,许多容器安全工具可以满足容器整个生命周期的各方面需求。
Docker 的安全工具可以分为以下几类:
内核安全工具:这些工具源于Linux开源社区,它们已经被docker等容器系统吸纳成为内核级别的基础安全工具。
镜像扫描工具:Docker Hub是最受欢迎的容器镜像仓库,但除Docker Hub之外也有很多其他镜像仓库可供选择。大多数镜像仓库现在都有针对已知漏洞扫描容器镜像的解决方案。
编排安全工具:Kubernetes和Docker Swarm 是两个被普遍使用的编排工具。并且它们的安全功能在过去一年已经得到加强。
网络安全工具:在容器驱动的分布式系统中,网络比以往更为重要。基于策略的网络安全在基于外围的防火墙上的重要性越来越突出。
安全基准测试工具:互联网安全中心(CIS)为容器安全提供了指导方针,这一方针已被Docker Bench和类似的安全基准工具所采用。
CaaS平台的安全性:AWS ECS,、GKE和其他CaaS平台通常是基于其母公司的laaS平台来构建其安全功能。然后添加容器专用功能或者借用Docker、Kubernetes的安全功能。
容器专用安全工具:对于容器安全来说,这是一个最优选择。其中,机器学习是中心阶段,因为这类工具能够为容器安全构建智能的解决方案。
以下是根据Docker堆栈工具安全部分,列出的可用的Docker安全工具备忘清单。
内核安全工具 命名空间(Namespaces)命名空间隔离了相邻的进程,并且限制了容器所能看到的内容,因此可以防止攻击的蔓延。
cgroups该工具限制了容器使用的资源,限制容器可以使用的内容,从而防止受感染的容器占用所有的资源。
SeLinux该工具为内核提供访问控制。它强制执行“强制访问控制(MAC)”,依据策略控制了容器访问内核的方式。
AppArmor该工具可以启用进程访问控制,可设置强制执行策略,亦可设置为仅在违反策略时发出报告。
Seccomp该工具允许进程以“安全”状态与内核进行交互,“安全”状态下仅可执行数量有限的一些命令。如果超出命令,那么进程将被终止。
镜像扫描工具 Docker Hub安全扫描该工具根据常见漏洞和暴露列表(CVEs)扫描从Docker Hub下载的镜像。
Docker Content Trust该工具可以根据作者验证从第三方文件库下载的镜像,作者可是个人或组织。
Quay Security Scanner该工具由CoreOS Clair提供支持。这是Quay Docker安全扫描版本,它可以扫描容器镜像漏洞。
AWS ECR作为AWS ECS的一部分,ECR在S3中静态加密图像,并通过HTTPS传输。它使用AWS IAM控制对镜像仓库的访问。
编排安全工具 Docker Swarm Secrets Management用安全的方式来使用Docker Swarm存储密码、token以及其他机密数据。
Kubernetes Security Context保证在Kubernetes集群中容器和pod的安全,并提供访问控制及 SELinux 和 AppArmor等Linux内核安全模块。
网络安全工具 Project Calico通过提供基于策略的安全保障来保护容器网络,并确保服务只能访问其所需要的服务和资源。
Weave该工具为容器网络强制实施基于策略的安全保障,并且为每个容器而非整个环境提供防火墙。
Canal集成了Project Calico的安全功能和Flannel的连接功能,为容器提供了全面的网络解决方案。
安全基准测试工具 Docker Bench这是一个根据互联网安全中心(CIS)创建的基准清单,来检查生产环境中的容器的安全状况的脚本。
Inspec这是一个由Chef构建的测试框架,它将合规性和安全性视为代码。此外,它可以扫描镜像并拥有自己的一个Docker Bench版本。
CaaS平台的安全性 AWS ECS在AWS ECS中,容器是运行在虚拟机内的,这就为容器提供了第一层安全保护。同时ECS也添加了AWS的安全功能,如IAM、安全组以及网络ACLs等。
Azure容器服务Azure容器服务有自己的容器镜像仓库来扫描镜像,同时还可充分利用Azure的默认安全功能,如IAM。
GKEGKE采纳了Kubernetes的安全功能并且添加了一些自己谷歌云的安全功能,如IAM和RBAC。
容器专用安全工具 Twistlock这是一个端到端的容器安全平台。它利用机器学习来自动分析应用程序。
Aqua Security一个端到端的容器平台,提供了易于扩展的成熟API。
Anchore该工具可以扫描容器镜像并为容器平台强制运行安全策略。同时它用Jenkins整合了CI/CD的工作流程。
NeuVector该工具通过执行服务策略来保护容器运行安全。并且能够基于自动化白名单自动开始或停止容器运行。
Deepfence该工具是CI / CD集成安全工具,可防止已知的攻击。
StackRox该容器安全工具可以利用机器学习提供“自适应威胁保护”
Tenable这是一个可以扫描容器镜像的托管安全解决方案,它甚至可以允许企业在它们的环境内执行安全策略。
Cavirin这是一个持续的安全评估工具,可以根据CIS基准测试漏洞。
感受Docker安全工具的魅力本文是一个十分全面的Docker安全工具清单。通过这份清单,我们可以清楚地发现,保证Docker的安全需要多种工具的共同合作。因为每个工具都有其优势以及所专注的领域。有针对容器堆栈的内核、镜像仓库、网络、编排工具以及CaaS平台的每一层提供解决方案。最棒的是,大部分工具或者至少是大部分容器工作负载中的常用工具都非常适合彼此集成。
充分了解每个安全工具的功能及其特性之后,您可以为企业级生产工作负载打造固若金汤的容器安全环境。这一直是Docker的承诺,而容器安全工具把这一承诺变成了现实。
作者简介Twain在谷歌开始他的职业生涯,其中,他成为了AdWords团队的技术支持。他的工作涉及审查堆栈跟踪,解决影响客户和支持团队的问题以及处理升级问题。后来,他建立了品牌社交媒体应用程序和自动化脚本,来帮助创业公司更好地管理它们的营销业务。今天,他作为一名技术记者,帮助IT杂志以及初创公司改变构建和发布应用程序的方式。
推荐阅读细数你不得不知的容器安全工具
Rancher Labs联手NeuVector,提供容器管理与安全解决方案
30个不可不知的容器技术工具和资源
使用开源工具fluentd-pilot收集容器日志
如若转载请注明出处,谢谢!
微信号: RancherLabs
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/27240.html
摘要:软件供应链几乎跟实际产品的供应链是相同的。确保软件供应链也十分相似。确保该扫描不止一次地发生,并在爆出新漏洞时,及时通知使用镜像的系统管理员或应用程序开发者。结论在软件生命周期的每个环节,平台都允许企业将安全纳入其中。 在Docker内部,我们花了很多时间讨论一个话题:如何将运行时安全和隔离作为容器架构的一部分?然而这只是软件流水线的一部分。 我们需要的不是一次性的标签或设置,而是需要...
摘要:大家好,我是冰河有句话叫做投资啥都不如投资自己的回报率高。马上就十一国庆假期了,给小伙伴们分享下,从小白程序员到大厂高级技术专家我看过哪些技术类书籍。 大家好,我是...
摘要:微店技术团队公众号容器化之路这是一套以阿里云为基础,为核心,第三方服务为工具的开发测试部署流程,以及内部的代码提交,版本管理规范。如何打造安全的容器云平台对,微服务,来说都是非常好的落地实践技术。 在使用 flow.ci 进行持续集成的过程中,也许你会遇到一些小麻烦。最近我们整理了一些常见问题在 flow.ci 文档之 FAQ,希望对你有用。如果你遇到其他问题,也可以通过「在线消息」或...
某熊的技术之路指北 ☯ 当我们站在技术之路的原点,未来可能充满了迷茫,也存在着很多不同的可能;我们可能成为 Web/(大)前端/终端工程师、服务端架构工程师、测试/运维/安全工程师等质量保障、可用性保障相关的工程师、大数据/云计算/虚拟化工程师、算法工程师、产品经理等等某个或者某几个角色。某熊的技术之路系列文章/书籍/视频/代码即是笔者蹒跚行进于这条路上的点滴印记,包含了笔者作为程序员的技术视野、...
某熊的技术之路指北 ☯ 当我们站在技术之路的原点,未来可能充满了迷茫,也存在着很多不同的可能;我们可能成为 Web/(大)前端/终端工程师、服务端架构工程师、测试/运维/安全工程师等质量保障、可用性保障相关的工程师、大数据/云计算/虚拟化工程师、算法工程师、产品经理等等某个或者某几个角色。某熊的技术之路系列文章/书籍/视频/代码即是笔者蹒跚行进于这条路上的点滴印记,包含了笔者作为程序员的技术视野、...
阅读 919·2021-10-27 14:13
阅读 2527·2021-10-09 09:54
阅读 595·2021-09-30 09:46
阅读 2269·2021-07-30 15:30
阅读 1967·2019-08-30 15:55
阅读 3242·2019-08-30 15:54
阅读 2734·2019-08-29 14:14
阅读 2679·2019-08-29 13:12
