让Docker更强大的10个安全开源工具-让Docker更强大的10个安全开源工具-华盟网

让Docker更强大的10个安全开源工具

华盟学院山东省第二期线下学习计划

开源最前线(ID:OpenSourceTop) 编译 

链接:https://techbeacon.com/10-top-open-source-tools-docker-security

对于容器安全性,你会发现许多开源工具可以帮助你避免遭遇安全问题,但也不可小瞧了去,你还是需要知道哪些开源工具更实用,本文我们将介绍十个实用的Docker安全工具

1. Docker Bench for Security

Docker Bench for Security是一个脚本,用于检查有关在生产中部署Docker容器的许多常见最佳解决方案。Docker Bench的测试基于行业标准  CIS基准测试,帮助实现手动漏洞测试的繁琐过程自动化。你可以按如下方式启动容器:

docker rn -it --net host --pid host --userns host --cap-add audit_control  -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST  -v /var/lib:/var/lib  -v /var/run/docker.sock:/var/run/docker.sock 
-v /usr/lib/systemd:/usr/lib/systemd  -v /etc:/etc --label docker_bench_security  docker/docker-bench-security

你也可以从Docker主机运行此实用程序,通过Docker Compose克隆它,或直接运行它。不过它有一个缺点就是缺乏机器可读性,如  Docker Bench Test,drydock和Actuary,都是在改进Docker Bench的基础上创建的。(项目地址:https://github.com/docker/docker-bench-security)

2. Clair

API驱动的静态容器安全性分析,具有庞大的CVE数据库

Clair 是一个容器漏洞分析服务。它提供一个能威胁容器漏洞的列表,并且在有新的容器漏洞发布出来后会发送通知给用户。Clair引入了许多漏洞数据源,例如Debian Security Bug Tracker,Ubuntu CVE Tracker和  Red Hat Security Data。由于Clair拥有如此多的CVE数据库,因此其测试非常全面(项目地址:https://coreos.com/clair/docs/latest/)

3. Cilium

Cilium就是保护网络连接。主要是面向容器而使用,用于提供并透明地保护应用程序工作负载(如应用程序容器或进程)之间的网络连接和负载均衡。Cilium与Linux容器平台(如Docker和Kubernetes)兼容,增加了安全可见性和逻辑控制。它由BPF  (以前称为Berkeley数据包过滤器)提供支持,这是一种Linux内核技术。(项目地址:https://github.com/cilium/cilium)

以下是如何使用本地更改部署Cilium:

$ kubectl create -f ./cilium.yaml clusterrole "cilium" created serviceaccount "cilium" created clusterrolebinding "cilium" created configmap "cilium-config" created secret "cilium-etcd-secrets" 
created daemonset "cilium" created $ kubectl get ds --namespace kube-system NAME DESIRED CURRENT READY NODE-SELECTOR AGE cilium 1 1 1 <none> 2m 

4. Anchore

一种使用CVE数据和用户定义的策略检查容器安全性的工具

Anchore Engine是一种用于分析容器图像的工具。除了基于CVE的安全漏洞报告之外,Anchore Engine还可以使用自定义策略评估Docker镜像。

Anchore打包为Docker容器映像,可以独立运行,也可以在Kubernetes等业务流程平台上运行。它还有用于CI / CD的Jenkins和GitLab集成。Anchore输出漏洞详细信息,威胁级别,CVE标识符和其他相关信息的列表。由于用户定义的规则是使用  Anchore Cloud Service  图形用户界面(GUI)创建的,因此它的运行方式与SaaS类似。(项目地址:https://github.com/anchore/anchore-engine)

5. OpenSCAP Workbench

用于为各种平台创建和维护安全策略的环境

OpenSCAP是IT管理员和安全审核员的生态系统,包含许多开放式安全基准指南和开源工具。由于OpenSCAP比此列表中的其他工具更广泛,因此对于希望为整个平台创建安全策略的团队而言,它是一个不错的选择。(项目地址:https://www.open-scap.org/)

6. Dagda

用于在Docker容器中扫描漏洞,特洛伊木马,病毒和恶意软件的工具

Dagda是另一种用于容器安全性静态分析的工具。其CVE源包括OWASP依赖性检查,Red Hat Oval和攻击性安全漏洞利用数据库。要使用Dagda扫描Docker容器,首先要使用漏洞数据填充Mongo数据库。执行此命令以分析单个Docker镜像:

python3 dagda.py check --docker_image jboss/wildfly 

你可以远程运行它,或者不断调用它来监视活动的Docker容器。输出显示漏洞数,严重性级别和其他详细信息以帮助修复。Dagda的好处之一是广泛覆盖漏洞数据。这意味着可以直接访问大量更新的综合漏洞利用集合。(项目地址:https://github.com/eliasgranderubio/dagda)

7. Notary

Notary 包括服务器和客户端,用于运行和与受信任的集合进行交互。Notary 的目标是使互联网更加安全,方便人们发布和验证内容。我们经常依靠 TLS 来保护与内部存在缺陷的 Web 服务器的通信,因为服务器的任何妥协都可以使恶意内容替代合法内容。

使用 Notary,发布商可以使用高度安全的密钥离线签名内容。一旦发布商准备提供内容,他们可以将其签名的受信任的集合推送到公证服务器。(项目地址:http://github.com/theupdateframework/notary)

8. Grafaes

用于帮助管理内部安全策略的元数据API

该容器安全工具于2017年底发布,由IBM和Google开发。开发人员可以使用Grafaes(称为“组件元数据API ”)  来定义虚拟机和容器的元数据。IBM的Vulnerability Advisor也集成到项目中。Grafaes是开源的,而且但它由大型软件提供商维护 - 这对长期支持是有益的。(项目地址:http://grafeas.io/)

9. Sysdig Falco

Sysdig Falco是一个开源的应用行为活动监测器,可以用来检测你的应用程序中的异常活动。并且Falcos可以连续监测应用、主机、网络传输中的任意一个节点的数据流,Falcos也支持一组可定制的规则。

Sysdig Falco可以检测任何行为,包括使Linux系统调用。由于sysdig核心解码和状态跟踪功能,Sysdig Falco可以通过具体的系统调用,使其触发报警。(项目地址:https://github.com/draios/falco/)

10. Banyanops Collector

Docker容器映像的静态分析框架

在Banyanops的支持下,Collector是一个开源实用程序,可用于“窥视”Docker容器图像文件。使用Collector,开发人员可以收集容器数据,实施安全策略等。(项目地址:https://www.banyanops.com/)

其他开源工具选择

Dockscan:具有少量提交的安全漏洞扫描程序

Batten:类似于Docker Bench的安全工具包,但具有非活动支持

InSpec:InSpec是一款人类和机器可读语言的基础设施开源测试框

文章出处:黑客技术与网络安全

www.idc126.com

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论