文档章节

细数你不得不知的容器安全工具

RancherLabs
 RancherLabs
发布于 2017/09/07 13:10
字数 1436
阅读 38
收藏 0

#程序员薪资揭榜#你做程序员几年了?月薪多少?发量还在么?>>>

网络安全问题的重要性大概毋庸置疑,最近无数关于恶意软件和安全漏洞的消息已充分证明了这一点。

假如你要管理一个Docker环境,并希望帮助自己的公司或用户在下一个大漏洞来临时避免遇到麻烦,那么你就需要了解一些保障Docker应用安全的工具,并真正地去使用它们。本文将介绍可供使用的Docker安全工具(包括了来自Docker原生的安全工具以及第三方安全工具)。

Docker Benchmark for Security

你首先需要了解的Docker安全工具之一就是Docker Benchmark for Security。Docker Benchmark for Security是一个简单的脚本,它可以测试并确保你的Docker部署遵守已有的的安全最佳实践(security best practices)。

Docker Benchmark for Security能够如此实用的原因之一是,它所参照的最佳实践基于的是各领域、各职位的行业专家所达成的共识。咨询人员、软件开发人员以及安全和执行方面的专家针对最佳实践的建立都贡献过宝贵观点及经验。你可以在Center for Internet Security(互联网安全中心)找到关于最佳实践和其背后原因的完整描述。

CoreOS Clair

CoreOS Clair是专门为Docker容器设计的漏洞扫描引擎。这个基于API的扫描引擎可以查看每个容器层,搜索并报告已知的漏洞。

CoreOS Clair有两个主要的使用场景。首先,针对那些并非由你亲自创建的镜像,Clair可以做充分的检查。例如,如果你从互联网下载镜像,镜像的安全性就很难保证。CoreOS Clair可以帮助你做出判断。它的第二个使用场景是,当你正在使用的不安全软件时,CoreOS Clair可以阻止和/或提醒你。

Docker Security Scanning

Docker Security Scanning是另一个可为Docker进行安全漏洞扫描的工具。而且,它不仅仅是一个单纯的扫描引擎,以下几点同样值得注意:

首先,Docker Security不局限于扫描Docker容器,该工具还会检查Docker安装安全问题。此外,它能够扫描本地和远程两部分的安装。

另一个值得一看的一点是,Docker Security基于插件使用。这些插件使得Docker Security有很强的扩展性,因此随着该工具的不断完善,更多的功能将会添加进去。插件可以简易编写,因此使用它的团队可以为实现自己的需求创建插件。

Drydock

Drydock的设计功能类似于Docker Benchmark for Security,不过在使用上更加灵活。和Docker Benchmark相似,Drydock是Docker的安全审核工具。而Drydock的独特之处在于,Drydock允许它的用户创建自定义的审核配置文件。这些配置文件可消除生成报告(噪声警报)中那些引起大量杂乱的审核,从而调整审核过程。此外它还可用于停用和环境无关、会产生虚假警报的审核测试。

和其他容器安全工具不同,使用Drydock创建自定义配置文件非常容易。该工具有一个内置的配置文件,包含了所有将要执行的审核测试,通过添加注释你就可以控制需要执行的检查。

你可以在Github上下载到Drydock

Twistlock

Twistlock是Docker的另一个安全审核工具。和其他解决方案不同的是它是一种商业应用,提供了一个免费的开发版和一个有许可的企业版。

Twistlock扫描容器栈中的每一个单独层,并能够使用内容指纹技术识别各种组件以及可能与这些组件相关联的漏洞。

Twistlock企业版使用了机器学习来帮助识别漏洞,此外还提供了自动化策略创建和执行功能。免费的开发者版本和企业版有很多相似之处,但开发者版需要手动创建策略,依赖于社区的支持,而它也限制了只有10个仓库和两台主机。

总结

Docker在逐渐发展成熟,也被越来越多的企业投入使用,因此,确保Docker环境的安全也变得越来越重要。所幸的是,现有的一系列工具——包括免费版和商业版,都可以帮助你更好地维护Docker应用(如Deepfence、NeuVector和Anchore)的安全。

欢迎关注Rancher官方微信公众号(RancherLabs),获取第一手技术干货推送;欢迎添加客服微信(RancherLabsChina)为好友,加入Rancher官方技术交流群,获取免费技术支持,与数千Docker/Rancher使用者互动。

9月27日,北京海航万豪酒店,容器技术大会Container Day 2017即将举行。

CloudStack之父、海航科技技术总监、华为PaaS部门部长、恒丰银行科技部总经理、阿里云PaaS工程总监、民生保险CIO······均已加入豪华讲师套餐!

11家已容器落地企业,15位真·云计算大咖,13场纯·技术演讲,结合实战场景,聚焦落地经验。免费参会+超高规格,详细议程及注册链接请戳 输入图片说明

© 著作权归作者所有

RancherLabs
粉丝 136
博文 311
码字总数 694647
作品 0
深圳
程序员
私信 提问
加载中

评论(0)

如何安全管理windows系统日志,windows系统日志的报表和告警

如何安全管理windows系统日志,windows系统日志的报表和告警   无论大小,每个拥有IT基础设施的组织都容易发生内部安全攻击。您的损失等同于黑客的收益:访问机密数据、滥用检索到的信息、...

osc_dst9rn7q
2018/08/06
5
0
WPF 画布工具栏的可扩展设计

我在写一个和 PS 差很多的工具,这个工具中间有一个画布,而我需要写一个扩展很好做的工具栏集合,这个工具栏设计上需要支持可以让小伙伴愉快的拆卸,功能足够独立,使用方便。本文就来告诉大...

lindexi_gd
05/21
0
0
先睹为快 ▏Kubernetes 1.5有哪些你不得不知的新功能?

今年9月份我们迎来了Kubernetes 1.4的惊喜发布,一大波新功能让人眼花缭乱。经过将近三个月时间的打磨,如今Kubernetes再推出新版本,翘首以盼的Kubernetes 1.5重磅发布,本次版本更新涵盖了...

时速云
2016/12/15
638
0
易于混淆的两个技术:Kerberos与Kubernetes辨析

版权声明:本文为博主chszs的原创文章,未经博主允许不得转载。 https://blog.csdn.net/chszs/article/details/50379088 易于混淆的两个技术:Kerberos与Kubernetes辨析 作者:chszs,未经博...

chszs
2015/12/22
0
0
在Mac OSX系统的Docker机上启用Docker远程API功能

版权声明:本文为博主chszs的原创文章,未经博主允许不得转载。 https://blog.csdn.net/chszs/article/details/50650214 在Mac OSX系统的Docker机上启用Docker远程API功能 作者:chszs,未经...

chszs
2016/02/10
0
0

没有更多内容

加载失败,请刷新页面

加载更多

好的可视化编辑器收集

国内 https://www.ivx.cn/index 国外 https://vectr.com

lilugirl
11分钟前
15
0
怎么在分享流程图的时候设置密码?迅捷画图教你保密小技巧!

怎么在分享流程图的时候设置密码?相信大家对分享链接和密码已经不陌生了,毕竟现在分享资源主要用的网盘、网站等等,基本上都需要先获取密码,才能进入分享链接页面,从分享资源的角度来说,...

赛利亚大姐大
12分钟前
6
0
如何在Mac电脑中输入多种标点符号和文字表情

特殊的标点符号和表情怎么输入?MAC电脑有自己自带的输入法,但是对于一些表情符号很多人都不知道在哪里使用,现在就来介绍一下MAC如何输入多种标点符号和文字表情。 1、首先我们打开备忘录,...

mac小叮当
21分钟前
17
0
Ubuntu替换国内源

网络环境的原因,官方的apt的源的速度比较慢,打算替换为国内源,正好学校有Ubuntu的源,所以替换下 编辑文件/etc/apt/sources.list 将其中的内容换为对应的系统的目标源即可。 选择你的ubu...

zhangwenwen
44分钟前
14
0
持续交付的最后一英里

如果开发人员的变更集在集成时并没有实现长期部署就绪的状态,那么你的团队其实就没有真正的实践持续交付。 想要完全优化产品开发周期,你需要在团队中强调无缝部署的重要性,使每位工程师都...

京东智联云开发者
45分钟前
18
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部