文档章节

细数你不得不知的容器安全工具

RancherLabs
 RancherLabs
发布于 2017/09/07 13:10
字数 1436
阅读 5
收藏 0
点赞 0
评论 0

网络安全问题的重要性大概毋庸置疑,最近无数关于恶意软件和安全漏洞的消息已充分证明了这一点。

假如你要管理一个Docker环境,并希望帮助自己的公司或用户在下一个大漏洞来临时避免遇到麻烦,那么你就需要了解一些保障Docker应用安全的工具,并真正地去使用它们。本文将介绍可供使用的Docker安全工具(包括了来自Docker原生的安全工具以及第三方安全工具)。

Docker Benchmark for Security

你首先需要了解的Docker安全工具之一就是Docker Benchmark for Security。Docker Benchmark for Security是一个简单的脚本,它可以测试并确保你的Docker部署遵守已有的的安全最佳实践(security best practices)。

Docker Benchmark for Security能够如此实用的原因之一是,它所参照的最佳实践基于的是各领域、各职位的行业专家所达成的共识。咨询人员、软件开发人员以及安全和执行方面的专家针对最佳实践的建立都贡献过宝贵观点及经验。你可以在Center for Internet Security(互联网安全中心)找到关于最佳实践和其背后原因的完整描述。

CoreOS Clair

CoreOS Clair是专门为Docker容器设计的漏洞扫描引擎。这个基于API的扫描引擎可以查看每个容器层,搜索并报告已知的漏洞。

CoreOS Clair有两个主要的使用场景。首先,针对那些并非由你亲自创建的镜像,Clair可以做充分的检查。例如,如果你从互联网下载镜像,镜像的安全性就很难保证。CoreOS Clair可以帮助你做出判断。它的第二个使用场景是,当你正在使用的不安全软件时,CoreOS Clair可以阻止和/或提醒你。

Docker Security Scanning

Docker Security Scanning是另一个可为Docker进行安全漏洞扫描的工具。而且,它不仅仅是一个单纯的扫描引擎,以下几点同样值得注意:

首先,Docker Security不局限于扫描Docker容器,该工具还会检查Docker安装安全问题。此外,它能够扫描本地和远程两部分的安装。

另一个值得一看的一点是,Docker Security基于插件使用。这些插件使得Docker Security有很强的扩展性,因此随着该工具的不断完善,更多的功能将会添加进去。插件可以简易编写,因此使用它的团队可以为实现自己的需求创建插件。

Drydock

Drydock的设计功能类似于Docker Benchmark for Security,不过在使用上更加灵活。和Docker Benchmark相似,Drydock是Docker的安全审核工具。而Drydock的独特之处在于,Drydock允许它的用户创建自定义的审核配置文件。这些配置文件可消除生成报告(噪声警报)中那些引起大量杂乱的审核,从而调整审核过程。此外它还可用于停用和环境无关、会产生虚假警报的审核测试。

和其他容器安全工具不同,使用Drydock创建自定义配置文件非常容易。该工具有一个内置的配置文件,包含了所有将要执行的审核测试,通过添加注释你就可以控制需要执行的检查。

你可以在Github上下载到Drydock

Twistlock

Twistlock是Docker的另一个安全审核工具。和其他解决方案不同的是它是一种商业应用,提供了一个免费的开发版和一个有许可的企业版。

Twistlock扫描容器栈中的每一个单独层,并能够使用内容指纹技术识别各种组件以及可能与这些组件相关联的漏洞。

Twistlock企业版使用了机器学习来帮助识别漏洞,此外还提供了自动化策略创建和执行功能。免费的开发者版本和企业版有很多相似之处,但开发者版需要手动创建策略,依赖于社区的支持,而它也限制了只有10个仓库和两台主机。

总结

Docker在逐渐发展成熟,也被越来越多的企业投入使用,因此,确保Docker环境的安全也变得越来越重要。所幸的是,现有的一系列工具——包括免费版和商业版,都可以帮助你更好地维护Docker应用(如Deepfence、NeuVector和Anchore)的安全。

欢迎关注Rancher官方微信公众号(RancherLabs),获取第一手技术干货推送;欢迎添加客服微信(RancherLabsChina)为好友,加入Rancher官方技术交流群,获取免费技术支持,与数千Docker/Rancher使用者互动。

9月27日,北京海航万豪酒店,容器技术大会Container Day 2017即将举行。

CloudStack之父、海航科技技术总监、华为PaaS部门部长、恒丰银行科技部总经理、阿里云PaaS工程总监、民生保险CIO······均已加入豪华讲师套餐!

11家已容器落地企业,15位真·云计算大咖,13场纯·技术演讲,结合实战场景,聚焦落地经验。免费参会+超高规格,详细议程及注册链接请戳 输入图片说明

© 著作权归作者所有

共有 人打赏支持
RancherLabs
粉丝 11
博文 98
码字总数 192073
作品 0
深圳
程序员
容器安全平台如何构建?基于DevSecOps有两种方法!

导读 容器安全平台让开发人员多大程度参与进来,这是个问题。 容器安全平台已经开始激增,但是企业可能不得不在选定保证容器工作负载安全的工具之前,仔细观察 DevSecOps 的趋势是什么。 11...

lq1ns259ej3okyvk4jf ⋅ 2017/12/15 ⋅ 0

先睹为快 ▏Kubernetes 1.5有哪些你不得不知的新功能?

今年9月份我们迎来了Kubernetes 1.4的惊喜发布,一大波新功能让人眼花缭乱。经过将近三个月时间的打磨,如今Kubernetes再推出新版本,翘首以盼的Kubernetes 1.5重磅发布,本次版本更新涵盖了...

时速云 ⋅ 2016/12/15 ⋅ 0

突破自我的Docker1.12

之前缺少了什么? 一言以蔽之……编排。 Docker 实在是太酷了——我指的是那些能改变游戏规则的技术。这些黑科技能给企业带来方方面面的巨大效益,随便列举几个:市场周期、稳定性、灵活性,...

linuxprobe ⋅ 2016/08/24 ⋅ 0

Kubernetes方法论之扫盲篇

随着容器逐渐受到企业的注意,焦点慢慢被转移到了容器编排工具上。复杂的工作负载在生产过程中需要成熟地被调度,编排,弹性扩容和管理工具。有了Docker,管理运行在主机操作系统上的容器以及...

Caicloud ⋅ 2016/06/06 ⋅ 0

细数实现容器可扩展性的多种途径

一些企业已经进军新兴的容器虚拟化领域,但企业或开发者已经有越来越多的担心,这项技术可能并不像宣传的那样有效,针对先进的应用程序和微服务——至少目前还没有。 目前,最大的问题是可扩...

Mrexamo ⋅ 2015/10/20 ⋅ 0

java并发编程——并发容器和并发工具介绍

java.util.concurrent包下面为我们提供了丰富的类和接口供我们开发出支持高并发、线程安全的程序。下面将从三个方面对这些基础构建类做以介绍和总结。 同步容器类,介绍Vector,HashTable和C...

isam ⋅ 2016/05/19 ⋅ 0

走进太平洋保险集团 ——信息化系统运维专场活动沙龙圆满举行

9月8日,由上海市国资委指导,上海市国有资产信息中心主办,畅享网提供媒体支持的走进太平洋保险集团——信息化系统运维专场活动沙龙在太平洋保险大厦圆满举行。沙龙活动针对信息化系统运维工...

玄学酱 ⋅ 03/05 ⋅ 0

web开发的一些基本概念

Web 项目开发技术 SUN Java EE(Ejb、JavaMail、JMS 、JNDI、Servlet、JSP、) 微软 Asp.Net 自由人 PHP (sina、FaceBook) Http访问服务器资源的方式 ⑴URL地址 ⑵表单提交 get和post方法的区别...

NikoTesla ⋅ 2015/08/03 ⋅ 0

4款用于Docker\Kubernetes容器安全工具

  【IT168 评论】Docker-style容器是快捷灵活地部署软件的一种的方法,安全性也非常高。这个工具可以对进入容器的软件组件自动进行分析,还可以具有跨容器集群、跟踪和管理漏洞数据等功能。...

it168网站 ⋅ 2017/10/26 ⋅ 0

关于java并发编程的一些概念及策略

最近抽出了点时间,把java并发编程的一些概念和策略总结了一下: 1. 同一个程序中的多个线程可以被同时调度到多个CPU上(利用这一点通常能提高cpu的使用率) 2. 多线程运用的例子:RMI、Servl...

mahout ⋅ 2012/08/17 ⋅ 1

没有更多内容

加载失败,请刷新页面

加载更多

下一页

6.1 压缩打包介绍 6.2 gzip压缩工具 6.3 bzip2压缩工具 6.4 xz压缩工具

压缩打包介绍 使用压缩工具的好处: 使用压缩文件,不仅可以节省磁盘空间,而且在传输时还能节省网络宽带。 我们通常讲的家用宽带和机房宽带100M是有区别的: 机房宽带的上行和下行都是100M,...

Linux_老吴 ⋅ 26分钟前 ⋅ 0

SpringBoot热部署加持

概述 进行SpringBoot的Web开发过程中,我们很多时候经常需要重启Web服务器才能保证修改的 源代码文件、或者一些诸如xml的配置文件、以及一些静态文件生效,这样耗时又低效。所谓的热部署指的...

CodeSheep ⋅ 33分钟前 ⋅ 0

OSChina 周六乱弹 —— 假如你被熊困到树上

Osc乱弹歌单(2018)请戳(这里) 【今日歌曲】 @小小编辑:推荐歌曲《如果写不出好的和弦就该在洒满阳光的钢琴前一起吃布丁》 《如果写不出好的和弦就该在洒满阳光的钢琴前一起吃布丁》- 谢...

小小编辑 ⋅ 今天 ⋅ 5

vbs 取文件大小 字节

dim namedim fs, s'name = Inputbox("姓名")'msgbox(name)set fs = wscript.createobject("scripting.filesystemobject") 'fs为FSO实例if (fs.folderexists("c:\temp"))......

vga ⋅ 今天 ⋅ 1

高并发之Nginx的限流

首先Nginx的版本号有要求,最低为1.11.5 如果低于这个版本,在Nginx的配置中 upstream web_app { server 到达Ip1:端口 max_conns=10; server 到达Ip2:端口 max_conns=10; } server { listen ...

算法之名 ⋅ 今天 ⋅ 0

Spring | IOC AOP 注解 简单使用

写在前面的话 很久没更新笔记了,有人会抱怨:小冯啊,你是不是在偷懒啊,没有学习了。老哥,真的冤枉:我觉得我自己很菜,还在努力学习呢,正在学习Vue.js做管理系统呢。即便这样,我还是不...

Wenyi_Feng ⋅ 今天 ⋅ 0

博客迁移到 https://www.jianshu.com/u/aa501451a235

博客迁移到 https://www.jianshu.com/u/aa501451a235 本博客不再更新

为为02 ⋅ 今天 ⋅ 0

win10怎么彻底关闭自动更新

win10自带的更新每天都很多,每一次下载都要占用大量网络,而且安装要等得时间也蛮久的。 工具/原料 Win10 方法/步骤 单击左下角开始菜单点击设置图标进入设置界面 在设置窗口中输入“服务”...

阿K1225 ⋅ 今天 ⋅ 0

Elasticsearch 6.3.0 SQL功能使用案例分享

The best elasticsearch highlevel java rest api-----bboss Elasticsearch 6.3.0 官方新推出的SQL检索插件非常不错,本文一个实际案例来介绍其使用方法。 1.代码中的sql检索 @Testpu...

bboss ⋅ 今天 ⋅ 0

informix数据库在linux中的安装以及用java/c/c++访问

一、安装前准备 安装JDK(略) 到IBM官网上下载informix软件:iif.12.10.FC9DE.linux-x86_64.tar放在某个大家都可以访问的目录比如:/mypkg,并解压到该目录下。 我也放到了百度云和天翼云上...

wangxuwei ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部