為容器安全苦惱?這份清單列舉了27種容器安全工具
Docker 的安全工具可以分為以下幾類:
l 內核安全工具:這些工具源於Linux開源社區,它們已經被docker等容器系統吸納成為內核級別的基礎安全工具。
l 鏡像掃描工具:Docker Hub是最受歡迎的容器鏡像倉庫,但除Docker Hub之外也有很多其他鏡像倉庫可供選擇的。
l 編排安全工具:Kubernetes和Docker Swarm 是兩個被普遍使用的編排工具。並且它們的安全功能在過去一年已經得到加強。
l 網絡安全工具:在容器驅動的分布式系統中,網絡比以往更為重要。基於策略的網絡安全在基於外圍的防火墻上的重要性越來越突出。
l 安全基準測試工具:互聯網安全中心(CIS)為容器安全提供了指導方針,這一方針已被Docker Bench和類似的安全基準工具所采用。
l CaaS平臺的安全性:AWS ECS、GKE和其他CaaS平臺通常是基於其母公司的laaS平臺來構建其安全功能。然後添加容器專用功能或者借用
l 容器專用安全工具:對於容器安全來說,這是一個最優選擇。其中,機器學習是中心階段,因為這類工具能夠為容器安全構建智能的解決方案。
以下是根據Docker堆棧工具安全部分,列出的可用的Docker安全工具備忘清單。
內核安全工具
命名空間(Namespaces)
該工具隔離了相鄰的進程,並且限制了容器所能看到的內容,因此可以防止攻擊的蔓延。
cgroups
該工具限制了容器使用的資源,限制容器可以使用的內容,從而防止受感染的容器占用所有的資源。
SeLinux
該工具為內核提供訪問控制。它強制執行“強制訪問控制(MAC)”,依據策略控制了容器訪問內核的方式。
AppArmor
該工具可以啟用進程訪問控制,可設置強制執行策略,亦可設置為僅在違反策略時發出報告。
Seccomp
該工具允許進程以“安全”狀態與內核進行交互,“安全”狀態下僅可執行數量有限的一些命令。如果超出命令,那麽進程將被終止。
鏡像掃描工具
Docker Hub安全掃描
該工具根據常見漏洞和暴露列表(CVEs)掃描從Docker Hub下載的鏡像。
Docker Content Trust
該工具可以根據作者驗證從第三方文件庫下載的鏡像,作者可是個人或組織。
Quay Security Scanner
該工具由CoreOS Clair提供支持。這是Quay Docker安全掃描版本,它可以掃描容器鏡像漏洞。
AWS ECR
作為AWS ECS的一部分,ECR在S3中靜態加密圖像,並通過HTTPS傳輸。它使用AWS IAM控制對鏡像倉庫的訪問。
編排安全工具
Docker Swarm機密管理
該工具提供一種使用Docker Swarm的安全方式來存儲密碼、token以及其他機密數據。
Kubernetes Security Context
保證在Kubernetes集群中容器和pod的安全,並提供訪問控制及 SELinux 和 AppArmor等Linux內核安全模塊。
網絡安全工具
Project Calico
通過提供基於策略的安全保障來保護容器網絡,並確保服務只能訪問其所需要的服務和資源。
Weave
該工具為容器網絡強制實施基於策略的安全保障,並且為每個容器而非整個環境提供防火墻。
Canal
集成了Project Calico的安全功能和Flannel的連接功能,為容器提供了全面的網絡解決方案。
安全基準測試工具
Docker Bench
這是一個根據互聯網安全中心(CIS)創建的基準清單,來檢查生產環境中的容器的安全狀況的腳本。
Inspec
這是一個由Chef構建的測試框架,它將合規性和安全性視為代碼。此外,它可以掃描鏡像並擁有自己的一個Docker Bench版本。
CaaS平臺的安全性
AWS ECS
在AWS ECS中,容器是運行在虛擬機內的,這就為容器提供了第一層安全保護。同時ECS也添加了AWS的安全功能,如IAM、安全組以及網絡ACLs等。
Azure容器服務
Azure容器服務有自己的容器鏡像倉庫來掃描鏡像,同時還可充分利用Azure的默認安全功能,如IAM。
GKE
GKE采納了Kubernetes的安全功能並且添加了一些自己谷歌雲的安全功能,如IAM和RBAC。
容器專用安全工具
Twistlock
這是一個端到端的容器安全平臺。它利用機器學習來自動分析應用程序。
Aqua Security
一個端到端的容器平臺,提供了易於擴展的成熟API。
Anchore
該工具可以掃描容器鏡像並為容器平臺強制運行安全策略。同時它用Jenkins整合了CI/CD的工作流程。
NeuVector
該工具通過執行服務策略來保護容器運行安全。並且能夠基於自動化白名單自動開始或停止容器運行。
Deepfence
該工具是CI / CD集成安全工具,可防止已知的攻擊。
StackRox
該容器安全工具可以利用機器學習提供“自適應威脅保護”
Tenable
這是一個可以掃描容器鏡像的托管安全解決方案,它甚至可以允許企業在它們的環境內執行安全策略。
Cavirin
這是一個持續的安全評估工具,可以根據CIS基準測試漏洞。
感受Docker安全工具的魅力
本文是一個十分全面的Docker安全工具清單。通過這份清單,我們可以清楚地知道,保證Docker的安全需要多種工具的共同合作。因為每個工具都有其優勢以及所專註的領域。有針對容器堆棧的內核、鏡像倉庫、網絡、編排工具以及CaaS平臺的每一層提供解決方案。最棒的是,大部分工具或者至少是大部分容器工作負載中的常用工具都非常適合彼此集成。
充分了解每個安全工具的功能及其特性之後,您可以為企業級生產工作負載打造固若金湯的安全的容器環境。這一直是Docker的承諾,而容器安全工具把這一承諾變成了現實。
為容器安全苦惱?這份清單列舉了27種容器安全工具