毫无疑问, *** 安全的重要性,最近无数关于恶意软件和安全漏洞的消息充分证明了这一点。
假如你要管理一个Docker如果你想帮助你的公司或用户避免在下一个大漏洞出现时遇到麻烦,你需要了解一些保证Docker使用安全工具并真正使用它们。本文将介绍可用的工具Docker安全工具(包括来自安全工具)Docker原生安全工具和第三方安全工具)。
Docker Benchmark for Security
你首先需要知道的Docker 是安全工具之一Docker Benchmark for Security 。Docker Benchmark for Security它是一个可以测试和确保你的简单脚本Docker部署遵守现有安全***实践(security best practices)。
Docker Benchmark for Security其中一个实用的原因是它参考的***实践是基于行业专家在各个领域和职位上达成的共识。顾问、软件开发人员和安全和执行专家***建立实践贡献了宝贵的观点和经验。你可以在 Center for Internet Security (互联网安全中心)***完整描述实践及其背后的原因。
CoreOS Clair
CoreOS Clair 是专门为Docker基于容器设计的漏洞扫描引擎。API扫描引擎可以查看每个容器层,搜索并报告已知的漏洞。
CoreOS Clair有两个主要的使用场景。首先,针对那些不是你自己创建的镜像,Clair可以做充分的检查。例如,如果您从互联网上下载镜像,则很难保证镜像的安全性。CoreOS Clair它可以帮助你做出判断。它的第二个使用场景是,当你使用不安全软件时,CoreOS Clair可以阻止和/或提醒你。
Docker Security Scanning
Docker Security Scanning 是另一种可为Docker进行安全漏洞扫描的工具。而且,它不仅仅是一个单纯的扫描引擎,以下几点同样值得注意:
首先,Docker Security不限于扫描Docker该工具还将检查容器Docker安装安全问题。此外,它还可以扫描本地和远程安装。
另一点值得一看的是,Docker Security使用基于插件的插件。Docker Security它具有很强的可扩展性,因此随着工具的不断改进,将添加更多的功能。插件可以很容易地编写,所以使用它的团队可以创建插件来满足他们自己的需求。
Drydock
Drydock类似于设计功能Docker Benchmark for Security,但使用起来更灵活。Docker Benchmark相似,Drydock是Docker安全审计工具Drydock独特之处在于,Drydock允许其用户创建定制的审计配置文件。这些配置文件可以消除生成报告(噪声报警)中造成大量混乱的审计,从而调整审计过程。此外,它还可用于审计和测试停止与环境无关的虚假报警。
与其他容器安全工具不同,使用它们Drydock创建自定义配置文件非常容易。该工具有一个内置的配置文件,包括所有要执行的审计测试,您可以通过添加注释来控制要执行的检查。
你可以在 Github 上下载到Drydock
Twistlock
Twistlock 是Docker另一种安全审计工具。与其他解决方案不同,它是一种商业应用程序,提供免费开发版和许可企业版。
Twistlock扫描容器堆栈中的每一层,并使用内容指纹技术识别可能与这些组件相关的各种组件和漏洞。
Twistlock企业版本使用机器学习来帮助识别漏洞,并提供自动化策略创建和执行功能。免费开发人员版本与企业版本有许多相似之处,但开发人员版本需要手动创建依赖社区支持的策略,仅限于10个仓库和两个主机。
总结
Docker在逐渐发展成熟,也被越来越多的企业投入使用,因此,确保Docker环境安全越来越重要。幸运的是,一系列现有工具——包括免费版和商业版,可以帮助你更好的维护Docker应用(如Deepfence、NeuVector和Anchore)的安全。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
