歡迎光臨
每天分享高質量文章

讓Docker更強大的10個安全開源工具

開源最前線(ID:OpenSourceTop) 編譯

鏈接:https://techbeacon.com/10-top-open-source-tools-docker-security

對於容器安全性,你會發現許多開源工具可以幫助你避免遭遇安全問題,但也不可小瞧了去,你還是需要知道哪些開源工具更實用,本文我們將介紹十個實用的Docker安全工具

1. Docker Bench for Security

Docker Bench for Security是一個腳本,用於檢查有關在生產中部署Docker容器的許多常見最佳解決方案。Docker Bench的測試基於行業標準  CIS基準測試,幫助實現手動漏洞測試的繁瑣過程自動化。你可以按如下方式啟動容器:


docker run -it --net host --pid host --userns host --cap-add audit_control  -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST  -v /var/lib:/var/lib  -v /var/run/docker.sock:/var/run/docker.sock  -v /usr/lib/systemd:/usr/lib/systemd  -v /etc:/etc --label docker_bench_security  docker/docker-bench-security

你也可以從Docker主機運行此實用程式,通過Docker Compose克隆它,或直接運行它。不過它有一個缺點就是缺乏機器可讀性,如  Docker Bench Test,drydock和Actuary,都是在改進Docker Bench的基礎上創建的。(專案地址:https://github.com/docker/docker-bench-security

2. Clair

API驅動的靜態容器安全性分析,具有龐大的CVE資料庫

Clair 是一個容器漏洞分析服務。它提供一個能威脅容器漏洞的串列,並且在有新的容器漏洞發佈出來後會發送通知給用戶。Clair引入了許多漏洞資料源,例如Debian Security Bug Tracker,Ubuntu CVE Tracker和  Red Hat Security Data。由於Clair擁有如此多的CVE資料庫,因此其測試非常全面(專案地址:https://coreos.com/clair/docs/latest/

3. Cilium

Cilium就是保護網絡連接。主要是面向容器而使用,用於提供並透明地保護應用程式工作負載(如應用程式容器或行程)之間的網絡連接和負載均衡。Cilium與Linux容器平臺(如Docker和Kubernetes)兼容,增加了安全可見性和邏輯控制。它由BPF  (以前稱為Berkeley資料包過濾器)提供支持,這是一種Linux內核技術。(專案地址:https://github.com/cilium/cilium

以下是如何使用本地更改部署Cilium:


$ kubectl create -f ./cilium.yaml clusterrole "cilium" created serviceaccount "cilium" created clusterrolebinding "cilium" created configmap "cilium-config" created secret "cilium-etcd-secrets" created daemonset "cilium" created $ kubectl get ds --namespace kube-system NAME DESIRED CURRENT READY NODE-SELECTOR AGE cilium 1 1 1 <none> 2m

4. Anchore

一種使用CVE資料和用戶定義的策略檢查容器安全性的工具

Anchore Engine是一種用於分析容器圖像的工具。除了基於CVE的安全漏洞報告之外,Anchore Engine還可以使用自定義策略評估Docker鏡像。

Anchore打包為Docker容器映像,可以獨立運行,也可以在Kubernetes等業務流程平臺上運行。它還有用於CI / CD的Jenkins和GitLab集成。Anchore輸出漏洞詳細信息,威脅級別,CVE識別符號和其他相關信息的串列。由於用戶定義的規則是使用  Anchore Cloud Service  圖形用戶界面(GUI)創建的,因此它的運行方式與SaaS類似。(專案地址:https://github.com/anchore/anchore-engine

5. OpenSCAP Workbench

用於為各種平臺創建和維護安全策略的環境

OpenSCAP是IT管理員和安全審核員的生態系統,包含許多開放式安全基準指南和開源工具。由於OpenSCAP比此串列中的其他工具更廣泛,因此對於希望為整個平臺創建安全策略的團隊而言,它是一個不錯的選擇。(專案地址:https://www.open-scap.org/

6. Dagda

用於在Docker容器中掃描漏洞,特洛伊木馬,病毒和惡意軟體的工具

Dagda是另一種用於容器安全性靜態分析的工具。其CVE源包括OWASP依賴性檢查,Red Hat Oval和攻擊性安全漏洞利用資料庫。要使用Dagda掃描Docker容器,首先要使用漏洞資料填充Mongo資料庫。執行此命令以分析單個Docker鏡像:


python3 dagda.py check --docker_image jboss/wildfly

你可以遠程運行它,或者不斷呼叫它來監視活動的Docker容器。輸出顯示漏洞數,嚴重性級別和其他詳細信息以幫助修複。Dagda的好處之一是廣泛改寫漏洞資料。這意味著可以直接訪問大量更新的綜合漏洞利用集合。(專案地址:https://github.com/eliasgranderubio/dagda

7. Notary

Notary 包括服務器和客戶端,用於運行和與受信任的集合進行交互。Notary 的標的是使互聯網更加安全,方便人們發佈和驗證內容。我們經常依靠 TLS 來保護與內部存在缺陷的 Web 服務器的通信,因為服務器的任何妥協都可以使惡意內容替代合法內容。

使用 Notary,發佈商可以使用高度安全的密鑰離線簽名內容。一旦發佈商準備提供內容,他們可以將其簽名的受信任的集合推送到公證服務器。(專案地址:http://github.com/theupdateframework/notary

8. Grafaes

用於幫助管理內部安全策略的元資料API

該容器安全工具於2017年底發佈,由IBM和Google開發。開發人員可以使用Grafaes(稱為“組件元資料API ”)  來定義虛擬機和容器的元資料。IBM的Vulnerability Advisor也集成到專案中。Grafaes是開源的,而且但它由大型軟體提供商維護 – 這對長期支持是有益的。(專案地址:http://grafeas.io/

9. Sysdig Falco

Sysdig Falco是一個開源的應用行為活動監測器,可以用來檢測你的應用程式中的異常活動。並且Falcos可以連續監測應用、主機、網絡傳輸中的任意一個節點的資料流,Falcos也支持一組可定製的規則。

Sysdig Falco可以檢測任何行為,包括使Linux系統呼叫。由於sysdig核心解碼和狀態跟蹤功能,Sysdig Falco可以通過具體的系統呼叫,使其觸發報警。(專案地址:https://github.com/draios/falco/

10. Banyanops Collector

Docker容器映像的靜態分析框架

在Banyanops的支持下,Collector是一個開源實用程式,可用於“窺視”Docker容器圖像檔案。使用Collector,開發人員可以收集容器資料,實施安全策略等。(專案地址:https://www.banyanops.com/

其他開源工具選擇

Dockscan:具有少量提交的安全漏洞掃描程式

Batten:類似於Docker Bench的安全工具包,但具有非活動支持

InSpec:InSpec是一款人類和機器可讀語言的基礎設施開源測試框架


●編號676,輸入編號直達本文

●輸入m獲取文章目錄

赞(0)

分享創造快樂