開源最前線(ID:OpenSourceTop) 編譯
連結:https://techbeacon.com/10-top-open-source-tools-docker-security
對於容器安全性,你會發現許多開源工具可以幫助你避免遭遇安全問題,但也不可小瞧了去,你還是需要知道哪些開源工具更實用,本文我們將介紹十個實用的Docker安全工具
1. Docker Bench for Security
Docker Bench for Security是一個指令碼,用於檢查有關在生產中部署Docker容器的許多常見最佳解決方案。Docker Bench的測試基於行業標準 CIS基準測試,幫助實現手動漏洞測試的繁瑣過程自動化。你可以按如下方式啟動容器:
docker run -it --net host --pid host --userns host --cap-add audit_control -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST -v /var/lib:/var/lib -v /var/run/docker.sock:/var/run/docker.sock -v /usr/lib/systemd:/usr/lib/systemd -v /etc:/etc --label docker_bench_security docker/docker-bench-security
你也可以從Docker主機執行此實用程式,透過Docker Compose克隆它,或直接執行它。不過它有一個缺點就是缺乏機器可讀性,如 Docker Bench Test,drydock和Actuary,都是在改進Docker Bench的基礎上建立的。(專案地址:https://github.com/docker/docker-bench-security)
2. Clair
API驅動的靜態容器安全性分析,具有龐大的CVE資料庫
Clair 是一個容器漏洞分析服務。它提供一個能威脅容器漏洞的串列,並且在有新的容器漏洞釋出出來後會傳送通知給使用者。Clair引入了許多漏洞資料源,例如Debian Security Bug Tracker,Ubuntu CVE Tracker和 Red Hat Security Data。由於Clair擁有如此多的CVE資料庫,因此其測試非常全面(專案地址:https://coreos.com/clair/docs/latest/)
3. Cilium
Cilium就是保護網路連線。主要是面向容器而使用,用於提供並透明地保護應用程式工作負載(如應用程式容器或行程)之間的網路連線和負載均衡。Cilium與Linux容器平臺(如Docker和Kubernetes)相容,增加了安全可見性和邏輯控制。它由BPF (以前稱為Berkeley資料包過濾器)提供支援,這是一種Linux核心技術。(專案地址:https://github.com/cilium/cilium)
以下是如何使用本地更改部署Cilium:
$ kubectl create -f ./cilium.yaml clusterrole "cilium" created serviceaccount "cilium" created clusterrolebinding "cilium" created configmap "cilium-config" created secret "cilium-etcd-secrets" created daemonset "cilium" created $ kubectl get ds --namespace kube-system NAME DESIRED CURRENT READY NODE-SELECTOR AGE cilium 1 1 1 <none> 2m
4. Anchore
一種使用CVE資料和使用者定義的策略檢查容器安全性的工具
Anchore Engine是一種用於分析容器影象的工具。除了基於CVE的安全漏洞報告之外,Anchore Engine還可以使用自定義策略評估Docker映象。
Anchore打包為Docker容器映像,可以獨立執行,也可以在Kubernetes等業務流程平臺上執行。它還有用於CI / CD的Jenkins和GitLab整合。Anchore輸出漏洞詳細資訊,威脅級別,CVE識別符號和其他相關資訊的串列。由於使用者定義的規則是使用 Anchore Cloud Service 圖形使用者介面(GUI)建立的,因此它的執行方式與SaaS類似。(專案地址:https://github.com/anchore/anchore-engine)
5. OpenSCAP Workbench
用於為各種平臺建立和維護安全策略的環境
OpenSCAP是IT管理員和安全審核員的生態系統,包含許多開放式安全基準指南和開源工具。由於OpenSCAP比此串列中的其他工具更廣泛,因此對於希望為整個平臺建立安全策略的團隊而言,它是一個不錯的選擇。(專案地址:https://www.open-scap.org/)
6. Dagda
用於在Docker容器中掃描漏洞,特洛伊木馬,病毒和惡意軟體的工具
Dagda是另一種用於容器安全性靜態分析的工具。其CVE源包括OWASP依賴性檢查,Red Hat Oval和攻擊性安全漏洞利用資料庫。要使用Dagda掃描Docker容器,首先要使用漏洞資料填充Mongo資料庫。執行此命令以分析單個Docker映象:
python3 dagda.py check --docker_image jboss/wildfly
你可以遠端執行它,或者不斷呼叫它來監視活動的Docker容器。輸出顯示漏洞數,嚴重性級別和其他詳細資訊以幫助修複。Dagda的好處之一是廣泛改寫漏洞資料。這意味著可以直接訪問大量更新的綜合漏洞利用集合。(專案地址:https://github.com/eliasgranderubio/dagda)
7. Notary
Notary 包括伺服器和客戶端,用於執行和與受信任的集合進行互動。Notary 的標的是使網際網路更加安全,方便人們釋出和驗證內容。我們經常依靠 TLS 來保護與內部存在缺陷的 Web 伺服器的通訊,因為伺服器的任何妥協都可以使惡意內容替代合法內容。
使用 Notary,釋出商可以使用高度安全的金鑰離線簽名內容。一旦釋出商準備提供內容,他們可以將其簽名的受信任的集合推送到公證伺服器。(專案地址:http://github.com/theupdateframework/notary)
8. Grafaes
用於幫助管理內部安全策略的元資料API
該容器安全工具於2017年底釋出,由IBM和Google開發。開發人員可以使用Grafaes(稱為“元件元資料API ”) 來定義虛擬機器和容器的元資料。IBM的Vulnerability Advisor也整合到專案中。Grafaes是開源的,而且但它由大型軟體提供商維護 – 這對長期支援是有益的。(專案地址:http://grafeas.io/)
9. Sysdig Falco
Sysdig Falco是一個開源的應用行為活動監測器,可以用來檢測你的應用程式中的異常活動。並且Falcos可以連續監測應用、主機、網路傳輸中的任意一個節點的資料流,Falcos也支援一組可定製的規則。
Sysdig Falco可以檢測任何行為,包括使Linux系統呼叫。由於sysdig核心解碼和狀態跟蹤功能,Sysdig Falco可以透過具體的系統呼叫,使其觸發報警。(專案地址:https://github.com/draios/falco/)
10. Banyanops Collector
Docker容器映像的靜態分析框架
在Banyanops的支援下,Collector是一個開源實用程式,可用於“窺視”Docker容器影象檔案。使用Collector,開發人員可以收集容器資料,實施安全策略等。(專案地址:https://www.banyanops.com/)
其他開源工具選擇
Dockscan:具有少量提交的安全漏洞掃描程式
Batten:類似於Docker Bench的安全工具包,但具有非活動支援
InSpec:InSpec是一款人類和機器可讀語言的基礎設施開源測試框架
●編號676,輸入編號直達本文
●輸入m獲取文章目錄