您需要知道的容器安全工具网络安全的重要性可能是不可否认的,最近关于恶意软件和安全漏洞的众多新闻报道充分证明了这一点。如果您管理Docker环境并希望在下一次重大违规事件发生时帮助您的公司或用户避免麻烦,您需要了解一些用于保护Docker应用程序的工具并实际使用它们。本文将介绍可用的Docker安全工具(包括来自Docker的原生安全工具和第三方安全工具)。DockerBenchmarkforSecurity您需要了解的第一个Docker安全工具之一是DockerBenchmarkforSecurity。DockerBenchmarkforSecurity是一个简单的脚本,用于测试并确保您的Docker部署符合现有的安全最佳实践。DockerBenchmarkforSecurity如此有用的原因之一是它所参考的最佳实践是基于各个领域和职位的行业专家达成的共识。顾问、软件开发人员以及安全和执法专家都在建立最佳实践方面贡献了宝贵的观点和经验。您可以在Internet安全中心找到最佳实践的完整描述及其背后的原因。CoreOSClairCoreOSClair是专门为Docker容器设计的漏洞扫描引擎。这个基于API的扫描引擎会查看每个容器层,搜索并报告已知漏洞。CoreOSClair有两个主要的使用场景。首先,克莱尔可以对那些不是你自己创建的图像做充分的检查。比如你从网上下载一个镜像,镜像的安全就很难保证。CoreOSClair可以帮助您做出决定。它的第二个使用场景是CoreOSClair可以在您使用不安全软件时阻止和/或提醒您。DockerSecurityScanningDockerSecurityScanning是另一个扫描Docker安全漏洞的工具。而且,它不仅仅是一个简单的扫描引擎,以下几点也值得注意:首先,DockerSecurity不仅限于扫描Docker容器,该工具还会检查Docker安装安全问题。此外,它还能够扫描本地和远程安装。值得关注的另一点是DockerSecurity是基于插件使用的。这些插件使DockerSecurity具有高度可扩展性,因此随着该工具的不断改进,将添加更多功能。插件易于编写,因此使用它的团队可以根据自己的需要创建插件。DrydockDrydock的设计功能类似于DockerBenchmarkforSecurity,但在使用上更加灵活。Drydock与DockerBenchmark类似,是Docker的安全审计工具。Drydock的独特之处在于Drydock允许其用户创建自定义审计配置文件。这些配置文件通过删除那些在生成报告(噪音警报)时导致大量混乱的审计来调整审计过程。它还可用于停用与环境无关且可能产生误报的审计测试。与其他容器安全工具不同,使用Drydock创建自定义配置文件非常容易。该工具有一个内置的配置文件,其中包含将要执行的所有审计测试,通过添加注释您可以控制需要执行哪些检查。你可以在Github上下载DrydockTwistlockTwistlock是Docker的另一个安全审计工具。与其他解决方案不同,它是一个商业应用程序,提供免费的开发人员版和许可的企业版。Twistlock扫描容器堆栈中的每一层,并能够使用内容指纹来识别各种组件以及可能与这些组件相关的漏洞。Twistlock企业版除了提供自动策略创建和执行外,还使用机器学习来帮助识别漏洞。免费开发版与企业版有许多相似之处,但开发版需要手动创建策略,依赖社区支持,并且仅限于10个存储库和两个主机。结束语Docker正在逐渐发展和成熟,被越来越多的企业所使用。因此,保障Docker环境的安全变得越来越重要。幸运的是,有一系列工具(包括免费的和商业的)可以帮助您更好地保护您的Docker应用程序,例如Deepfence、NeuVector和Anchore。
