【.com快译】Docker容器帮助软件开发人员更快地构建应用程序并更灵活地部署它们。容器还可以帮助开发人员提高软件的安全性。自动分析进入容器的软件组件、跨容器集群和多个应用程序版本的行为策略,以及用于跟踪和管理漏洞数据的创新技术,这些只是容器提高整个应用程序生命周期安全性的几种方式。不过,其中有多少开箱即用是另一回事。Docker和Kubernetes等容器管理系统提供基本功能,但并不总是提供更强大的功能,将更高级的安全监控和实施留给第三方工具。这里有七种最近改进的容器安全产品和服务,它们为云和本地数据中心的容器提供漏洞检测、合规性检查、白名单、防火墙和运行时保护。1.AporetoAporeto专注于运行时保护,类似于下面讨论的NeuVector产品。该公司提供保护Kubernetes工作负载的微服务安全产品和保护在分布式环境中运行的应用程序的云网络防火墙系统。对于Kubernetes工作负载,Aporeto可以保护本地和托管环境(例如GoogleKubernetesEngine)。每个创建的资源都被分配了一个服务身份,用于确保应用程序周围的信任链不被破坏。除其他事项外,服务身份用于强制执行已声明的应用程序行为,而不管应用程序的pod实际位于何处。注册帐户后可根据要求提供Aporeto的定价。提供30天的免费评估试用。2.AquaContainerSecurityPlatformAquaContainerSecurityPlatform为Linux容器和Windows容器提供合规性和运行时安全性。这个端到端的容器安全管理器允许管理员将安全策略和风险配置文件应用于应用程序,并将这些配置文件与不同的应用程序构建管道相关联。图像扫描可以与构建和CI/CD工具集成。AquaContainerSecurityPlatform还使管理员能够利用应用程序上下文,在运行时为应用程序分割网络。Aqua平台与HashicorpVault等机密管理工具配合使用,后者支持GrafeasAPI,用于从软件组件访问元数据。Aqua平台可以记录它在应用程序的Grafeas商店中发现的任何漏洞信息,AquaPolicy可以利用Grafeas定义数据来解决安全事件和软件问题。AquaContainerSecurityPlatform可用于本地或云部署。没有免费试用版或开源版本,但Aqua发布了许多源自该平台的开源工具。3.AtomicSecuredDockerAtomicSecuredDocker是Ubuntu、CentOS和RedHatEnterpriseLinux的替代Linux内核,它利用许多强化策略来抵消潜在的攻击。许多保护,例如用户空间内存的强化权限,来自Atomicorp的安全内核产品线。ContainerBreachProtection等其他产品专为Docker设计。AtomicSecuredDocker可通过直接购买获得。AWS和Azure市场上还有适用于AWS托管的CentOS和Azure托管的CentOS和Ubuntu的版本。4.NeuVectorNeuVector旨在保护整个Kubernetes集群。它与现有的Kubernetes管理解决方案兼容,例如RedHatOpenShift和DockerEnterpriseEdition,旨在保护部署各个阶段的应用程序,从开发(通过Jenkins插件)到生产。与本文中介绍的许多其他解决方案一样,NeuVector作为容器部署到现有Kubernetes集群中,而不是通过修改现有代码来部署。当NeuVector添加到集群时,它会发现所有托管容器并生成详细说明连接和行为的地图。可以检测并说明由添加或删除应用程序引起的任何更改,以便实时扫描查找威胁(包括容器破坏或新漏洞)仍然有效。NeuVector的定价取决于运行Docker主机的数量,起价为每年9,950美元。提供免费试用版。5.SysdigSecureSysdigSecure提供了一套用于监控容器运行时环境并从中获取取证分析数据的工具。SysdigSecure旨在与Sysdig的其他监控工具(如SysdigMonitor)一起运行。可以在每个应用程序、容器、主机或网络活动的基础上设置和执行环境策略。主机或容器可以通过编排器(通常是Kubernetes)视角查看SysdigSecure跟踪的任何事件。可以记录和剖析每个容器的命令历史,可以记录和重放整个集群的聚合取证分析数据,类似于Twistlock的“事件浏览器”功能。Sysdig仅提供收费的SysdigSecure,提供云和本地版本。6.Tenable.io容器安全Tenable.io容器安全专注于让Devops团队在构建过程中深入了解容器安全,而不是在生产中事后才想到。在构建时扫描容器映像以查找恶意软件、漏洞和策略合规性。如果图像或图像中的任何元素引发警报,开发人员会收到问题的性质和确切位置的通知,例如多层图像的特定层,以便他们可以在下一个版本中快速修复。Tenable.ioContainerSecurity可与最常见的CI/CD构建系统和容器映像注册表配合使用,并提供一个仪表板来显示所有正在运行的容器映像的当前状态、策略实施状态和存储中心行为。Tenable.ioContainerSecurity的定价可应要求提供。免费试用期为60天。7.TwistlockTwistlock为DockerEnterprise等“核心”容器产品未涵盖的容器添加了许多安全控制。其中一些功能包括:用于对容器执行HIPAA和CI规则的合规性控制。Jenkins等构建工具的合规性警报。云原生应用程序的防火墙。根据分析有效和无效容器行为的结果,提供针对容器的运行时攻击保护。支持Kubernetes的CIS基准测试,以便可以根据一组通用标准检查由Kubernetes管理的部署,以确保Kubernetes的安全。2018年8月发布的Twistlock2.5添加了新的取证分析技术,可减少运行时开销(例如在容器本身外部存储事件前后的容器状态信息)、映射命名空间、pod和容器的实时可视化工具和改进防御无服务器计算系统。Twistlock提供收费的企业版。之前提供30天免费试用,但不再提供。原标题:锁定Docker和Kubernetes的7个容器安全工具,作者:SerdarYegulalp
