網絡安全問題的重要性大概毋庸置疑，最近無數關於惡意軟件和安全漏洞的消息已充分證明了這一點。

假如你要管理一個Docker環境，並希望幫助自己的公司或用戶在下一個大漏洞來臨時避免遇到麻煩，那麽你就需要了解一些保障Docker應用安全的工具，並真正地去使用它們。本文將介紹可供使用的Docker安全工具（包括了來自Docker原生的安全工具以及第三方安全工具）。

Docker Benchmark for Security

你首先需要了解的Docker安全工具之一就是Docker Benchmark for Security。Docker Benchmark for Security是一個簡單的腳本，它可以測試並確保你的Docker部署遵守已有的的安全最佳實踐（security best practices）。

Docker Benchmark for Security能夠如此實用的原因之一是，它所參照的最佳實踐基於的是各領域、各職位的行業專家所達成的共識。咨詢人員、軟件開發人員以及安全和執行方面的專家針對最佳實踐的建立都貢獻過寶貴觀點及經驗。你可以在Center for Internet Security（互聯網安全中心）找到關於最佳實踐和其背後原因的完整描述。

CoreOS Clair

CoreOS Clair是專門為Docker容器設計的漏洞掃描引擎。這個基於API的掃描引擎可以查看每個容器層，搜索並報告已知的漏洞。

CoreOS Clair有兩個主要的使用場景。首先，針對那些並非由你親自創建的鏡像，Clair可以做充分的檢查。例如，如果你從互聯網下載鏡像，鏡像的安全性就很難保證。CoreOS Clair可以幫助你做出判斷。它的第二個使用場景是，當你正在使用的不安全軟件時，CoreOS Clair可以阻止和／或提醒你。

Docker Security Scanning

Docker Security Scanning是另一個可為Docker進行安全漏洞掃描的工具。而且，它不僅僅是一個單純的掃描引擎，以下幾點同樣值得註意：

首先，Docker Security不局限於掃描Docker容器，該工具還會檢查Docker安裝安全問題。此外，它能夠掃描本地和遠程兩部分的安裝。

另一個值得一看的一點是，Docker Security基於插件使用。這些插件使得Docker Security有很強的擴展性，因此隨著該工具的不斷完善，更多的功能將會添加進去。插件可以簡易編寫，因此使用它的團隊可以為實現自己的需求創建插件。

Drydock

Drydock的設計功能類似於Docker Benchmark for Security，不過在使用上更加靈活。和Docker Benchmark相似，Drydock是Docker的安全審核工具。而Drydock的獨特之處在於，Drydock允許它的用戶創建自定義的審核配置文件。這些配置文件可消除生成報告（噪聲警報）中那些引起大量雜亂的審核，從而調整審核過程。此外它還可用於停用和環境無關、會產生虛假警報的審核測試。

和其他容器安全工具不同，使用Drydock創建自定義配置文件非常容易。該工具有一個內置的配置文件，包含了所有將要執行的審核測試，通過添加註釋你就可以控制需要執行的檢查。

你可以在Github上下載到Drydock

Twistlock

Twistlock是Docker的另一個安全審核工具。和其他解決方案不同的是它是一種商業應用，提供了一個免費的開發版和一個有許可的企業版。

Twistlock掃描容器棧中的每一個單獨層，並能夠使用內容指紋技術識別各種組件以及可能與這些組件相關聯的漏洞。

Twistlock企業版使用了機器學習來幫助識別漏洞，此外還提供了自動化策略創建和執行功能。免費的開發者版本和企業版有很多相似之處，但開發者版需要手動創建策略，依賴於社區的支持，而它也限制了只有10個倉庫和兩臺主機。

總結

Docker在逐漸發展成熟，也被越來越多的企業投入使用，因此，確保Docker環境的安全也變得越來越重要。所幸的是，現有的一系列工具——包括免費版和商業版，都可以幫助你更好地維護Docker應用（如Deepfence、NeuVector和Anchore）的安全。

原文來源：Rancher Labs

本文出自 “12452495” 博客，請務必保留此出處http://12462495.blog.51cto.com/12452495/1956391

細數你不得不知的容器安全工具