文档章节

细数你不得不知的容器安全工具

RancherLabs
 RancherLabs
发布于 2017/09/07 13:10
字数 1436
阅读 5
收藏 0

网络安全问题的重要性大概毋庸置疑,最近无数关于恶意软件和安全漏洞的消息已充分证明了这一点。

假如你要管理一个Docker环境,并希望帮助自己的公司或用户在下一个大漏洞来临时避免遇到麻烦,那么你就需要了解一些保障Docker应用安全的工具,并真正地去使用它们。本文将介绍可供使用的Docker安全工具(包括了来自Docker原生的安全工具以及第三方安全工具)。

Docker Benchmark for Security

你首先需要了解的Docker安全工具之一就是Docker Benchmark for Security。Docker Benchmark for Security是一个简单的脚本,它可以测试并确保你的Docker部署遵守已有的的安全最佳实践(security best practices)。

Docker Benchmark for Security能够如此实用的原因之一是,它所参照的最佳实践基于的是各领域、各职位的行业专家所达成的共识。咨询人员、软件开发人员以及安全和执行方面的专家针对最佳实践的建立都贡献过宝贵观点及经验。你可以在Center for Internet Security(互联网安全中心)找到关于最佳实践和其背后原因的完整描述。

CoreOS Clair

CoreOS Clair是专门为Docker容器设计的漏洞扫描引擎。这个基于API的扫描引擎可以查看每个容器层,搜索并报告已知的漏洞。

CoreOS Clair有两个主要的使用场景。首先,针对那些并非由你亲自创建的镜像,Clair可以做充分的检查。例如,如果你从互联网下载镜像,镜像的安全性就很难保证。CoreOS Clair可以帮助你做出判断。它的第二个使用场景是,当你正在使用的不安全软件时,CoreOS Clair可以阻止和/或提醒你。

Docker Security Scanning

Docker Security Scanning是另一个可为Docker进行安全漏洞扫描的工具。而且,它不仅仅是一个单纯的扫描引擎,以下几点同样值得注意:

首先,Docker Security不局限于扫描Docker容器,该工具还会检查Docker安装安全问题。此外,它能够扫描本地和远程两部分的安装。

另一个值得一看的一点是,Docker Security基于插件使用。这些插件使得Docker Security有很强的扩展性,因此随着该工具的不断完善,更多的功能将会添加进去。插件可以简易编写,因此使用它的团队可以为实现自己的需求创建插件。

Drydock

Drydock的设计功能类似于Docker Benchmark for Security,不过在使用上更加灵活。和Docker Benchmark相似,Drydock是Docker的安全审核工具。而Drydock的独特之处在于,Drydock允许它的用户创建自定义的审核配置文件。这些配置文件可消除生成报告(噪声警报)中那些引起大量杂乱的审核,从而调整审核过程。此外它还可用于停用和环境无关、会产生虚假警报的审核测试。

和其他容器安全工具不同,使用Drydock创建自定义配置文件非常容易。该工具有一个内置的配置文件,包含了所有将要执行的审核测试,通过添加注释你就可以控制需要执行的检查。

你可以在Github上下载到Drydock

Twistlock

Twistlock是Docker的另一个安全审核工具。和其他解决方案不同的是它是一种商业应用,提供了一个免费的开发版和一个有许可的企业版。

Twistlock扫描容器栈中的每一个单独层,并能够使用内容指纹技术识别各种组件以及可能与这些组件相关联的漏洞。

Twistlock企业版使用了机器学习来帮助识别漏洞,此外还提供了自动化策略创建和执行功能。免费的开发者版本和企业版有很多相似之处,但开发者版需要手动创建策略,依赖于社区的支持,而它也限制了只有10个仓库和两台主机。

总结

Docker在逐渐发展成熟,也被越来越多的企业投入使用,因此,确保Docker环境的安全也变得越来越重要。所幸的是,现有的一系列工具——包括免费版和商业版,都可以帮助你更好地维护Docker应用(如Deepfence、NeuVector和Anchore)的安全。

欢迎关注Rancher官方微信公众号(RancherLabs),获取第一手技术干货推送;欢迎添加客服微信(RancherLabsChina)为好友,加入Rancher官方技术交流群,获取免费技术支持,与数千Docker/Rancher使用者互动。

9月27日,北京海航万豪酒店,容器技术大会Container Day 2017即将举行。

CloudStack之父、海航科技技术总监、华为PaaS部门部长、恒丰银行科技部总经理、阿里云PaaS工程总监、民生保险CIO······均已加入豪华讲师套餐!

11家已容器落地企业,15位真·云计算大咖,13场纯·技术演讲,结合实战场景,聚焦落地经验。免费参会+超高规格,详细议程及注册链接请戳 输入图片说明

© 著作权归作者所有

共有 人打赏支持
RancherLabs
粉丝 20
博文 124
码字总数 257142
作品 0
深圳
程序员
先睹为快 ▏Kubernetes 1.5有哪些你不得不知的新功能?

今年9月份我们迎来了Kubernetes 1.4的惊喜发布,一大波新功能让人眼花缭乱。经过将近三个月时间的打磨,如今Kubernetes再推出新版本,翘首以盼的Kubernetes 1.5重磅发布,本次版本更新涵盖了...

时速云
2016/12/15
398
0
容器安全平台如何构建?基于DevSecOps有两种方法!

导读 容器安全平台让开发人员多大程度参与进来,这是个问题。 容器安全平台已经开始激增,但是企业可能不得不在选定保证容器工作负载安全的工具之前,仔细观察 DevSecOps 的趋势是什么。 11...

lq1ns259ej3okyvk4jf
2017/12/15
0
0
突破自我的Docker1.12

之前缺少了什么? 一言以蔽之……编排。 Docker 实在是太酷了——我指的是那些能改变游戏规则的技术。这些黑科技能给企业带来方方面面的巨大效益,随便列举几个:市场周期、稳定性、灵活性,...

linuxprobe
2016/08/24
9
0
Kubernetes方法论之扫盲篇

随着容器逐渐受到企业的注意,焦点慢慢被转移到了容器编排工具上。复杂的工作负载在生产过程中需要成熟地被调度,编排,弹性扩容和管理工具。有了Docker,管理运行在主机操作系统上的容器以及...

Caicloud
2016/06/06
49
0
细数实现容器可扩展性的多种途径

一些企业已经进军新兴的容器虚拟化领域,但企业或开发者已经有越来越多的担心,这项技术可能并不像宣传的那样有效,针对先进的应用程序和微服务——至少目前还没有。 目前,最大的问题是可扩...

Mrexamo
2015/10/20
94
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

【七】组合Action

本章描述了常用定义Action的方法。 自定义action builders 我们在action一章已经看过如何声明一个action——有request parameter、无request parameter、有body parser等等。你可以在 asynch...

Landas
37分钟前
0
0
Spring Boot实战之基础回顾

本文作者: 吴伟祥 本文链接: https://wuweixiang.cn/2018/08/21/Spring-Boot实战之基础回顾/ 版权声明: 本博客所有文章除特别声明外均为原创,采用CC BY-NC-SA 4.0 许可协议。转载请在文章开...

吴伟祥
37分钟前
0
0
OAuth认证开发

提示: 以下测试是基于项目安装成功,初始化数据库(initial_db.ddl, oauth.ddl, initial_data.ddl)后的测试, 也可在页面上点击"client_details"菜单里进行测试 方式1:基于浏览器 (grant_type=...

舒文joven
46分钟前
1
0
第二章-对象及变量的并发访问-第二篇

锁对象的改变 请阅读如下代码 public class MainClass { private String lock = "123"; public void printStringB() { try { synchronized (lock) { ......

简心
49分钟前
0
0
日志中记录代理IP以及真实客户端、apache只记录指定URI的日志

apache 日志中记录代理IP以及真实客户端 默认情况下log日志格式为: LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined 其中%h 是记录访问者的IP,如果在web的前...

李超小牛子
58分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部