【.com快译】近几年,Docker容器被很多漏洞攻击。攻击如此之多,以至于许多公司推出了以安全为中心的应用程序来帮助加强平台。当然,这不仅仅是为容器增加安全性,或者帮助构建和运行容器使用的引擎。从服务到最佳实践,安全从头开始。JuniperNetworks网络战略总监JamesKelly表示:“不可能有一个单一的工具可以涵盖所有内容并保护企业组织免受所有可能出错的方面的影响。”Kelly认为,有许多方面需要考虑,包括安全编程实践、构建签名、图像签名、版本管理、安全网络、用于下一代防火墙(NGFW)的入口-出口和东西向流量的深度数据包检测、高级威胁和预防、流量加密、访问控制列表、微分段、应用程序API身份等。在大规模环境中,安全性变得更加重要。为此,凯利坚持认为开发人员和管理员必须考虑“多租户、微分段和容器化的NGFW服务链”。但是开发人员和管理员可以使用哪些工具来增强容器部署的安全性呢?让我们来看看。查出。开发镜像容器的最大安全问题之一是构建这些容器的镜像。如果您基于受损图像开发容器,您可能会造成严重破坏。为此,Alcide的首席技术官兼联合创始人GadiNaor表示:“容器中的最佳实践是使用构建工具创建开发容器镜像,特定语言的工具链团队需要对其工程进行迭代。通常,你从一个基本的操作系统镜像开始,然后将相关的包添加到你使用的运行时语言中。”换句话说,在内部建立自己的形象。这应该被视为部署容器的安全支柱。HarborHarbor是一个开源容器注册表,当与RedHat的Clair漏洞扫描工具结合使用时,它还可以扫描图像中的已知漏洞。安装后,Harbor充当存储库,然后可以扫描任何上传的图像以查找问题。像这样的扫描平台应该被认为是所有容器开发人员和管理员的必备工具。了解图像文件的问题对确保您部署安全的容器大有帮助。Role-BasedAccessControl除了使用安全镜像,RBAC(Role-BasedAccessControl)应该是每个容器工程师都应该充分了解的工具。RBAC通过本地角色和绑定确定是否允许用户对特定项目执行操作。如果您允许开发人员访问集群,则意味着他们也可以访问KubernetesAPI。为什么这很重要?根据RedHat容器首席产品经理ScottMcCarty的说法,“如果开发人员在开发环境中间接或直接在生产环境中(用于故障排除)访问这些API,基于角色的访问对于限制恶意或无意造成的损害至关重要。“HadolintHadolint是一个HaskellDockerfile代码检查工具(linter)。正如您可以对编程语言进行代码检查一样,您也可以对静态文件进行代码检查。但为什么要对Dockerfile进行代码检查?简单:检查优化、编程错误、错误、类型错误、可疑工件和可能的故障。Dockerfile的代码检查不仅会产生更清晰的代码,还会消除错误并产生更小的Docker映像。更好的是,Hadolint可以集成到您的CI管道中,因此可以自动完成代码检查。关于代码检查工具的使用,Naor说:“它将促使这些用户改进他们的容器创建技能,同时提供对安全最佳实践的直接洞察。”SnykSnyk有助于识别构建期间潜在的运行时应用程序风险。具体来说,如果集成到CI管道中,Snyk可以持续发现并修复容器中的漏洞。Snyk的工作方式是通过检查相关的操作系统包管理器清单信息来扫描操作系统包(每个图像),然后基于此信息,Snyk分析关键应用程序二进制文件的图像,并将结果与??已知漏洞数据库进行比较。与仅扫描图像漏洞的Harbor/Clair不同,Snyk还可以扫描您的Dockerfile(如果包含在命令行中)以对您的基础图像进行更详细的分析。WhiteSourceWhiteSource是一个开源安全和许可合规性管理平台,可以自动识别您构建的软件中的所有组件和依赖项。当使用WhiteSource搜索开源组件时,其浏览器插件会显示任何报告的错误、安全风险、错误许可证(由配置的策略定义)、每个组件的新版本等等。使用像WhiteSource这样的工具可以让您对要添加到容器构建中的组件做出更明智的决策。KubernetesAdvisorAlcide提供KubernetesAdvisor,这是一种多集群漏洞扫描器,可执行最佳实践和合规性检查以扫描漏洞、查找放错位置的秘密和对秘密的过度访问、强化工作负载、Istio安全配置、Ingress控制器的最佳安全实践、KubernetesAPI服务器访问等等。设置KubernetesAdvisor后,您可以通过易于使用的基于Web的仪表板对Kubernetes集群进行持续审计和合规性。Styra如果你想针对整个Kubernetes生态系统定义、实施和验证安全性,你可能应该考虑Styra。Styra结合了开源和专有解决方案,以提供合规性保护机制,简化安全应用程序的合规性。使用Styra,您不再需要将合规性硬编码到软件中。相反,您定义一次策略并随时随地执行它们。Styra包括一个内置的合规性策略存储库、在提交之前监控和验证策略更改的能力、使用声明性模型定义所需状态、防止安全漂移等。当然,有许多工具可以帮助您保护容器,但本文应该是您入门的起点。不要忽视从头开始构建安全容器的基础知识。此外,在横向扩展时,请确保使用强大的工具充分利用您的工作。原标题:保护你的Docker容器的8个工具,作者:JackWallen
