摘要:安全基準測試工具互聯(lián)網安全中心為容器安全提供了指導方針��,這一方針已被和類似的安全基準工具所采用�����。該容器安全工具可以利用機器學習提供自適應威脅保護這是一個可以掃描容器鏡像的托管安全解決方案,它甚至可以允許企業(yè)在它們的環(huán)境內執(zhí)行安全策略���。
在Docker容器技術興起的初期���,對于許多企業(yè)而言,容器安全問題一直是他們在生產環(huán)境中采用Docker的一大障礙��。然而����,在過去的一年中,許多開源項目���、初創(chuàng)公司�、云供應商甚至是Docker公司自己�����,已經開始打造用于強化Docker環(huán)境的新解決方案���,關于容器安全的擔憂及挑戰(zhàn)正在被逐漸解決�����。如今�����,許多容器安全工具可以滿足容器整個生命周期的各方面需求�。
Docker 的安全工具可以分為以下幾類:
內核安全工具:
這些工具源于Linux開源社區(qū)�����,它們已經被docker等容器系統(tǒng)吸納成為內核級別的基礎安全工具���。
鏡像掃描工具:
Docker Hub是最受歡迎的容器鏡像倉庫,但除Docker Hub之外也有很多其他鏡像倉庫可供選擇��。大多數(shù)鏡像倉庫現(xiàn)在都有針對已知漏洞掃描容器鏡像的解決方案����。
編排安全工具:
Kubernetes和Docker Swarm 是兩個被普遍使用的編排工具。并且它們的安全功能在過去一年已經得到加強�。
網絡安全工具:
在容器驅動的分布式系統(tǒng)中,網絡比以往更為重要����?����;诓呗缘木W絡安全在基于外圍的防火墻上的重要性越來越突出���。
安全基準測試工具:
互聯(lián)網安全中心(CIS)為容器安全提供了指導方針,這一方針已被Docker Bench和類似的安全基準工具所采用�。
CaaS平臺的安全性:
AWS ECS,、GKE和其他CaaS平臺通常是基于其母公司的laaS平臺來構建其安全功能����。然后添加容器專用功能或者借用Docker、Kubernetes的安全功能��。
容器專用安全工具:
對于容器安全來說�,這是一個最優(yōu)選擇。其中����,機器學習是中心階段,因為這類工具能夠為容器安全構建智能的解決方案�����。
以下是根據(jù)Docker堆棧工具安全部分,列出的可用的Docker安全工具備忘清單���。
內核安全工具
命名空間(Namespaces)
命名空間隔離了相鄰的進程���,并且限制了容器所能看到的內容,因此可以防止攻擊的蔓延����。
cgroups
該工具限制了容器使用的資源����,限制容器可以使用的內容,從而防止受感染的容器占用所有的資源�����。
SeLinux
該工具為內核提供訪問控制���。它強制執(zhí)行“強制訪問控制(MAC)”�,依據(jù)策略控制了容器訪問內核的方式��。
AppArmor
該工具可以啟用進程訪問控制��,可設置強制執(zhí)行策略,亦可設置為僅在違反策略時發(fā)出報告����。
Seccomp
該工具允許進程以“安全”狀態(tài)與內核進行交互,“安全”狀態(tài)下僅可執(zhí)行數(shù)量有限的一些命令�����。如果超出命令��,那么進程將被終止��。
鏡像掃描工具
Docker Hub安全掃描
該工具根據(jù)常見漏洞和暴露列表(CVEs)掃描從Docker Hub下載的鏡像��。
Docker Content Trust
該工具可以根據(jù)作者驗證從第三方文件庫下載的鏡像���,作者可是個人或組織�����。
Quay Security Scanner
該工具由CoreOS Clair提供支持��。這是Quay Docker安全掃描版本����,它可以掃描容器鏡像漏洞。
AWS ECR
作為AWS ECS的一部分�����,ECR在S3中靜態(tài)加密圖像����,并通過HTTPS傳輸。它使用AWS IAM控制對鏡像倉庫的訪問�。
編排安全工具
Docker Swarm Secrets Management
用安全的方式來使用Docker Swarm存儲密碼、token以及其他機密數(shù)據(jù)��。
Kubernetes Security Context
保證在Kubernetes集群中容器和pod的安全�,并提供訪問控制及 SELinux 和 AppArmor等Linux內核安全模塊�。
網絡安全工具
Project Calico
通過提供基于策略的安全保障來保護容器網絡,并確保服務只能訪問其所需要的服務和資源��。
Weave
該工具為容器網絡強制實施基于策略的安全保障����,并且為每個容器而非整個環(huán)境提供防火墻。
Canal
集成了Project Calico的安全功能和Flannel的連接功能��,為容器提供了全面的網絡解決方案��。
安全基準測試工具
Docker Bench
這是一個根據(jù)互聯(lián)網安全中心(CIS)創(chuàng)建的基準清單,來檢查生產環(huán)境中的容器的安全狀況的腳本�����。
Inspec
這是一個由Chef構建的測試框架��,它將合規(guī)性和安全性視為代碼�����。此外��,它可以掃描鏡像并擁有自己的一個Docker Bench版本���。
CaaS平臺的安全性
AWS ECS
在AWS ECS中����,容器是運行在虛擬機內的��,這就為容器提供了第一層安全保護����。同時ECS也添加了AWS的安全功能,如IAM���、安全組以及網絡ACLs等�����。
Azure容器服務
Azure容器服務有自己的容器鏡像倉庫來掃描鏡像�,同時還可充分利用Azure的默認安全功能,如IAM�。
GKE
GKE采納了Kubernetes的安全功能并且添加了一些自己谷歌云的安全功能,如IAM和RBAC����。
容器專用安全工具
Twistlock
這是一個端到端的容器安全平臺。它利用機器學習來自動分析應用程序���。
Aqua Security
一個端到端的容器平臺��,提供了易于擴展的成熟API���。
Anchore
該工具可以掃描容器鏡像并為容器平臺強制運行安全策略��。同時它用Jenkins整合了CI/CD的工作流程����。
NeuVector
該工具通過執(zhí)行服務策略來保護容器運行安全���。并且能夠基于自動化白名單自動開始或停止容器運行。
Deepfence
該工具是CI / CD集成安全工具����,可防止已知的攻擊。
StackRox
該容器安全工具可以利用機器學習提供“自適應威脅保護”
Tenable
這是一個可以掃描容器鏡像的托管安全解決方案����,它甚至可以允許企業(yè)在它們的環(huán)境內執(zhí)行安全策略。
Cavirin
這是一個持續(xù)的安全評估工具��,可以根據(jù)CIS基準測試漏洞���。
感受Docker安全工具的魅力
本文是一個十分全面的Docker安全工具清單�����。通過這份清單���,我們可以清楚地發(fā)現(xiàn),保證Docker的安全需要多種工具的共同合作��。因為每個工具都有其優(yōu)勢以及所專注的領域���。有針對容器堆棧的內核��、鏡像倉庫����、網絡、編排工具以及CaaS平臺的每一層提供解決方案����。最棒的是,大部分工具或者至少是大部分容器工作負載中的常用工具都非常適合彼此集成�。
充分了解每個安全工具的功能及其特性之后,您可以為企業(yè)級生產工作負載打造固若金湯的容器安全環(huán)境���。這一直是Docker的承諾����,而容器安全工具把這一承諾變成了現(xiàn)實���。
作者簡介
Twain在谷歌開始他的職業(yè)生涯��,其中,他成為了AdWords團隊的技術支持����。他的工作涉及審查堆棧跟蹤��,解決影響客戶和支持團隊的問題以及處理升級問題���。后來,他建立了品牌社交媒體應用程序和自動化腳本���,來幫助創(chuàng)業(yè)公司更好地管理它們的營銷業(yè)務�����。今天����,他作為一名技術記者�,幫助IT雜志以及初創(chuàng)公司改變構建和發(fā)布應用程序的方式。
推薦閱讀
細數(shù)你不得不知的容器安全工具
Rancher Labs聯(lián)手NeuVector��,提供容器管理與安全解決方案
30個不可不知的容器技術工具和資源
使用開源工具fluentd-pilot收集容器日志
如若轉載請注明出處���,謝謝���!
微信號: RancherLabs
文章版權歸作者所有�����,未經允許請勿轉載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除�����。
轉載請注明本文地址:http://m.hztianpu.com/yun/27240.html
