保护Docker和Kubernetes的7个容器安全工具
自动分析进入容器的软件组件、跨容器集群和多个应用程序版本的行为策略,以及跟踪和管理漏洞数据的创新技术,这些只是容器为整个应用程序生命周期提高安全性的几个途径。
不过,这些当中多少是开箱即用的是另一回事。Docker和容器管理系统(比如Kubernetes)提供了基本功能,但并不总是提供更强的功能,从而将更高级的安全监控和执行留给了第三方工具。
以下是七款最近改进的容器安全产品和服务,它们为云端和本地数据中心中的容器提供了漏洞检测、合规检查、白名单、防火墙和运行时保护等功能。
1.Aporeto
Aporeto专注于运行时保护,类似于下面讨论的NeuVector产品。该公司提供了保护Kubernetes工作负载的微服务安全产品和保护分布式环境中运行的应用程序的云网络防火墙系统。
若是Kubernetes工作负载,Aporeto可以保护本地环境和托管环境(比如Google Kubernetes Engine)。每个创建的资源被分配了一个服务标识,用于确保应用程序周围的信任链未破坏。除此之外,服务标识还用于执行声明的应用程序行为,无论应用程序的pod实际上在哪里。
注册帐户后,可根据要求索取Aporeto的定价。可免费试用评估30天。
2.Aqua容器安全平台
Aqua容器安全平台为Linux容器和Windows容器提供了合规和运行时安全性。
这款端到端容器安全管理器让管理员可以将安全策略和风险配置文件应用于应用程序,并将这些配置文件与不同的应用程序构建管道关联起来。映像扫描可与构建和CI/CD工具集成起来。
Aqua容器安全平台还让管理员可以利用应用程序上下文,在运行时为应用程序分割网络。Aqua平台与Hashicorp Vault等秘密管理工具配合使用,它支持Grafeas API,用于访问来自软件组件的元数据。Aqua平台可以记录它在应用程序的Grafeas商店中找到的任何漏洞信息,Aqua策略可以利用Grafeas定义数据来处理安全事件和软件问题。
Aqua容器安全平台可用于本地或云端部署。没有免费试用版或开源版,但Aqua发布了许多源自该平台的开源工具。
3.Atomic Secured Docker
Atomic Secured Docker是适用于Ubuntu、CentOS和Red Hat Enterprise Linux的替代Linux内核,它利用许多加固策略来抵消潜在的攻击。许多保护措施(比如针对用户空间内存的加固权限)来自Atomicorp的安全内核产品系列。容器突破防护等其他产品专为Docker设计。
可通过直接购买获得Atomic Secured Docker。AWS和Azure市场上还有针对AWS托管的CentOS以及Azure托管的CentOS和Ubuntu的版本。
4.NeuVector
NeuVector旨在保护整个Kubernetes集群。它与现有的Kubernetes管理解决方案兼容,比如Red Hat OpenShift和Docker企业版,旨在保护部署所有阶段的应用程序,从开发阶段(通过Jenkins插件)到生产阶段,全程保护。
与本文介绍的许多其他解决方案一样,NeuVector作为容器部署到现有的Kubernetes集群中,而不是通过修改现有代码来部署。NeuVector添加到集群后,它会发现所有托管的容器,并生成详细表明连接和行为的映射图。可以检测并考虑到应用程序增加或减少引起的任何变化,以便查找威胁(包括容器突破或新漏洞)的实时扫描仍然有效。
NeuVector的定价取决于运行中的Docker主机的数量,起价为每年9950美元。提供免费试用版。
5.Sysdig Secure
Sysdig Secure提供了一组用于监控容器运行时环境并从中获取取证分析数据的工具。 Sysdig Secure旨在与Sysdig的其他监测工具(如Sysdig Monitor)一起运行。
可以根据每个应用程序、容器、主机或网络活动来设置和实施环境策略。Sysdig Secure跟踪的任何事件都可以由主机或容器通过编排器(通常是Kubernetes)的视角来查看。可以记录和剖析每个容器的命令历史记录,并记录和回放跨整个集群的总体取证分析数据,类似Twistlock的“事件探索器”功能那样。
Sysdig仅提供收费的Sysdig Secure,提供云版本和本地版。
6.Tenable.io Container Security
Tenable.io Container Security专注于让Devops团队在构建过程中深入了解容器的安全性,而不是在生产环境中事后了解。
构建时扫描容器映像以查找恶意软件、漏洞和策略合规情况。如果映像或映像中的任何元素发出警报,开发人员会接到表明问题的性质及确切位置的通知,比如多层映像的特定层,以便下一次发布时迅速修复。
Tenable.io Container Security适用于大多数常见的CI/CD构建系统和容器映像注册中心,并通过仪表板显示了所有正在运行中的容器映像的当前状态、策略实施状态和存储中心行为。
可索要Tenable.io Container Security的定价。免费试用期为60天。
7.Twistlock
Twistlock为未被“核心”容器产品(如Docker Enterprise)覆盖的容器添加了许多安全控制。其中一些功能包括:
- 用于对容器实施HIPAA和CI规则的合规控制。
- 针对Jenkins等构建工具的合规警报。
- 针对云原生应用程序的防火墙。
- 基于分析有效和无效的容器行为的结果,对容器提供运行时攻击防护。
- 支持Kubernetes的CIS基准测试,以便可以根据保护Kubernetes的一系列通用标准,检查由Kubernetes管理的部署。
2018年8月发布的Twistlock 2.5增加了减少运行时开销的新的取证分析技术(比如将事件前后的容器状态信息存储在容器本身之外)、对用于映射命名空间、pod和容器的实时可视化工具所作的改进之处以及针对无服务器计算系统的防御。