摘要:安全基準(zhǔn)測試工具互聯(lián)網(wǎng)安全中心為容器安全提供了指導(dǎo)方針,這一方針已被和類似的安全基準(zhǔn)工具所采用。該容器安全工具可以利用機器學(xué)習(xí)提供自適應(yīng)威脅保護這是一個可以掃描容器鏡像的托管安全解決方案,它甚至可以允許企業(yè)在它們的環(huán)境內(nèi)執(zhí)行安全策略。
在Docker容器技術(shù)興起的初期,對于許多企業(yè)而言,容器安全問題一直是他們在生產(chǎn)環(huán)境中采用Docker的一大障礙。然而,在過去的一年中,許多開源項目、初創(chuàng)公司、云供應(yīng)商甚至是Docker公司自己,已經(jīng)開始打造用于強化Docker環(huán)境的新解決方案,關(guān)于容器安全的擔(dān)憂及挑戰(zhàn)正在被逐漸解決。如今,許多容器安全工具可以滿足容器整個生命周期的各方面需求。
Docker 的安全工具可以分為以下幾類:
內(nèi)核安全工具:這些工具源于Linux開源社區(qū),它們已經(jīng)被docker等容器系統(tǒng)吸納成為內(nèi)核級別的基礎(chǔ)安全工具。
鏡像掃描工具:Docker Hub是最受歡迎的容器鏡像倉庫,但除Docker Hub之外也有很多其他鏡像倉庫可供選擇。大多數(shù)鏡像倉庫現(xiàn)在都有針對已知漏洞掃描容器鏡像的解決方案。
編排安全工具:Kubernetes和Docker Swarm 是兩個被普遍使用的編排工具。并且它們的安全功能在過去一年已經(jīng)得到加強。
網(wǎng)絡(luò)安全工具:在容器驅(qū)動的分布式系統(tǒng)中,網(wǎng)絡(luò)比以往更為重要。基于策略的網(wǎng)絡(luò)安全在基于外圍的防火墻上的重要性越來越突出。
安全基準(zhǔn)測試工具:互聯(lián)網(wǎng)安全中心(CIS)為容器安全提供了指導(dǎo)方針,這一方針已被Docker Bench和類似的安全基準(zhǔn)工具所采用。
CaaS平臺的安全性:AWS ECS,、GKE和其他CaaS平臺通常是基于其母公司的laaS平臺來構(gòu)建其安全功能。然后添加容器專用功能或者借用Docker、Kubernetes的安全功能。
容器專用安全工具:對于容器安全來說,這是一個最優(yōu)選擇。其中,機器學(xué)習(xí)是中心階段,因為這類工具能夠為容器安全構(gòu)建智能的解決方案。
以下是根據(jù)Docker堆棧工具安全部分,列出的可用的Docker安全工具備忘清單。
內(nèi)核安全工具 命名空間(Namespaces)命名空間隔離了相鄰的進程,并且限制了容器所能看到的內(nèi)容,因此可以防止攻擊的蔓延。
cgroups該工具限制了容器使用的資源,限制容器可以使用的內(nèi)容,從而防止受感染的容器占用所有的資源。
SeLinux該工具為內(nèi)核提供訪問控制。它強制執(zhí)行“強制訪問控制(MAC)”,依據(jù)策略控制了容器訪問內(nèi)核的方式。
AppArmor該工具可以啟用進程訪問控制,可設(shè)置強制執(zhí)行策略,亦可設(shè)置為僅在違反策略時發(fā)出報告。
Seccomp該工具允許進程以“安全”狀態(tài)與內(nèi)核進行交互,“安全”狀態(tài)下僅可執(zhí)行數(shù)量有限的一些命令。如果超出命令,那么進程將被終止。
鏡像掃描工具 Docker Hub安全掃描該工具根據(jù)常見漏洞和暴露列表(CVEs)掃描從Docker Hub下載的鏡像。
Docker Content Trust該工具可以根據(jù)作者驗證從第三方文件庫下載的鏡像,作者可是個人或組織。
Quay Security Scanner該工具由CoreOS Clair提供支持。這是Quay Docker安全掃描版本,它可以掃描容器鏡像漏洞。
AWS ECR作為AWS ECS的一部分,ECR在S3中靜態(tài)加密圖像,并通過HTTPS傳輸。它使用AWS IAM控制對鏡像倉庫的訪問。
編排安全工具 Docker Swarm Secrets Management用安全的方式來使用Docker Swarm存儲密碼、token以及其他機密數(shù)據(jù)。
Kubernetes Security Context保證在Kubernetes集群中容器和pod的安全,并提供訪問控制及 SELinux 和 AppArmor等Linux內(nèi)核安全模塊。
網(wǎng)絡(luò)安全工具 Project Calico通過提供基于策略的安全保障來保護容器網(wǎng)絡(luò),并確保服務(wù)只能訪問其所需要的服務(wù)和資源。
Weave該工具為容器網(wǎng)絡(luò)強制實施基于策略的安全保障,并且為每個容器而非整個環(huán)境提供防火墻。
Canal集成了Project Calico的安全功能和Flannel的連接功能,為容器提供了全面的網(wǎng)絡(luò)解決方案。
安全基準(zhǔn)測試工具 Docker Bench這是一個根據(jù)互聯(lián)網(wǎng)安全中心(CIS)創(chuàng)建的基準(zhǔn)清單,來檢查生產(chǎn)環(huán)境中的容器的安全狀況的腳本。
Inspec這是一個由Chef構(gòu)建的測試框架,它將合規(guī)性和安全性視為代碼。此外,它可以掃描鏡像并擁有自己的一個Docker Bench版本。
CaaS平臺的安全性 AWS ECS在AWS ECS中,容器是運行在虛擬機內(nèi)的,這就為容器提供了第一層安全保護。同時ECS也添加了AWS的安全功能,如IAM、安全組以及網(wǎng)絡(luò)ACLs等。
Azure容器服務(wù)Azure容器服務(wù)有自己的容器鏡像倉庫來掃描鏡像,同時還可充分利用Azure的默認(rèn)安全功能,如IAM。
GKEGKE采納了Kubernetes的安全功能并且添加了一些自己谷歌云的安全功能,如IAM和RBAC。
容器專用安全工具 Twistlock這是一個端到端的容器安全平臺。它利用機器學(xué)習(xí)來自動分析應(yīng)用程序。
Aqua Security一個端到端的容器平臺,提供了易于擴展的成熟API。
Anchore該工具可以掃描容器鏡像并為容器平臺強制運行安全策略。同時它用Jenkins整合了CI/CD的工作流程。
NeuVector該工具通過執(zhí)行服務(wù)策略來保護容器運行安全。并且能夠基于自動化白名單自動開始或停止容器運行。
Deepfence該工具是CI / CD集成安全工具,可防止已知的攻擊。
StackRox該容器安全工具可以利用機器學(xué)習(xí)提供“自適應(yīng)威脅保護”
Tenable這是一個可以掃描容器鏡像的托管安全解決方案,它甚至可以允許企業(yè)在它們的環(huán)境內(nèi)執(zhí)行安全策略。
Cavirin這是一個持續(xù)的安全評估工具,可以根據(jù)CIS基準(zhǔn)測試漏洞。
感受Docker安全工具的魅力本文是一個十分全面的Docker安全工具清單。通過這份清單,我們可以清楚地發(fā)現(xiàn),保證Docker的安全需要多種工具的共同合作。因為每個工具都有其優(yōu)勢以及所專注的領(lǐng)域。有針對容器堆棧的內(nèi)核、鏡像倉庫、網(wǎng)絡(luò)、編排工具以及CaaS平臺的每一層提供解決方案。最棒的是,大部分工具或者至少是大部分容器工作負載中的常用工具都非常適合彼此集成。
充分了解每個安全工具的功能及其特性之后,您可以為企業(yè)級生產(chǎn)工作負載打造固若金湯的容器安全環(huán)境。這一直是Docker的承諾,而容器安全工具把這一承諾變成了現(xiàn)實。
作者簡介Twain在谷歌開始他的職業(yè)生涯,其中,他成為了AdWords團隊的技術(shù)支持。他的工作涉及審查堆棧跟蹤,解決影響客戶和支持團隊的問題以及處理升級問題。后來,他建立了品牌社交媒體應(yīng)用程序和自動化腳本,來幫助創(chuàng)業(yè)公司更好地管理它們的營銷業(yè)務(wù)。今天,他作為一名技術(shù)記者,幫助IT雜志以及初創(chuàng)公司改變構(gòu)建和發(fā)布應(yīng)用程序的方式。
推薦閱讀細數(shù)你不得不知的容器安全工具
Rancher Labs聯(lián)手NeuVector,提供容器管理與安全解決方案
30個不可不知的容器技術(shù)工具和資源
使用開源工具fluentd-pilot收集容器日志
如若轉(zhuǎn)載請注明出處,謝謝!
微信號: RancherLabs
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/27240.html
摘要:軟件供應(yīng)鏈幾乎跟實際產(chǎn)品的供應(yīng)鏈?zhǔn)窍嗤摹4_保軟件供應(yīng)鏈也十分相似。確保該掃描不止一次地發(fā)生,并在爆出新漏洞時,及時通知使用鏡像的系統(tǒng)管理員或應(yīng)用程序開發(fā)者。結(jié)論在軟件生命周期的每個環(huán)節(jié),平臺都允許企業(yè)將安全納入其中。 在Docker內(nèi)部,我們花了很多時間討論一個話題:如何將運行時安全和隔離作為容器架構(gòu)的一部分?然而這只是軟件流水線的一部分。 我們需要的不是一次性的標(biāo)簽或設(shè)置,而是需要...
摘要:大家好,我是冰河有句話叫做投資啥都不如投資自己的回報率高。馬上就十一國慶假期了,給小伙伴們分享下,從小白程序員到大廠高級技術(shù)專家我看過哪些技術(shù)類書籍。 大家好,我是...
摘要:微店技術(shù)團隊公眾號容器化之路這是一套以阿里云為基礎(chǔ),為核心,第三方服務(wù)為工具的開發(fā)測試部署流程,以及內(nèi)部的代碼提交,版本管理規(guī)范。如何打造安全的容器云平臺對,微服務(wù),來說都是非常好的落地實踐技術(shù)。 在使用 flow.ci 進行持續(xù)集成的過程中,也許你會遇到一些小麻煩。最近我們整理了一些常見問題在 flow.ci 文檔之 FAQ,希望對你有用。如果你遇到其他問題,也可以通過「在線消息」或...
某熊的技術(shù)之路指北 ? 當(dāng)我們站在技術(shù)之路的原點,未來可能充滿了迷茫,也存在著很多不同的可能;我們可能成為 Web/(大)前端/終端工程師、服務(wù)端架構(gòu)工程師、測試/運維/安全工程師等質(zhì)量保障、可用性保障相關(guān)的工程師、大數(shù)據(jù)/云計算/虛擬化工程師、算法工程師、產(chǎn)品經(jīng)理等等某個或者某幾個角色。某熊的技術(shù)之路系列文章/書籍/視頻/代碼即是筆者蹣跚行進于這條路上的點滴印記,包含了筆者作為程序員的技術(shù)視野、...
閱讀 1140·2021-10-27 14:13
閱讀 2645·2021-10-09 09:54
閱讀 914·2021-09-30 09:46
閱讀 2432·2021-07-30 15:30
閱讀 2177·2019-08-30 15:55
閱讀 3419·2019-08-30 15:54
閱讀 2858·2019-08-29 14:14
閱讀 2780·2019-08-29 13:12