七个用于Docker和Kubernetes防护的安全工具
这些超强工具为开发和生产中的容器带来了监控,审计,运行时防御和基于策略的控制。
Docker容器可帮助软件开发人员更快地构建应用程序并更灵活地部署它们,容器还可以帮助开发人员使软件更安全。
自动分析软件组件进入容器,跨容器集群和多个应用程序版本的行为策略,以及跟踪和管理漏洞数据的创新发展,这些只是容器在整个应用程序生命周期中提高安全性的一些方式。
尽管如此,其中有多少是开箱即用的?这是另外一回事,Docker和容器管理系统(如Kubernetes)提供了基础,将更高级的安全监控留给第三方工具。
以下是七个最近改进的容器安全产品和服务,它们在云和你自己的数据中心中为容器提供漏洞检测,合规性检查,白名单,防火墙和运行时保护等功能。
Aporeto
Aporeto专注于运行时保护,类似于下面讨论的NeuVector产品。该公司提供微服务安全产品以保护Kubernetes工作负载和云网络防火墙系统,以保护在分布式环境中运行的应用程序。
通过Kubernetes工作负载,Aporeto可以保护本地和托管环境(例如,Google Kubernetes Engine)。为每个创建的资源分配一个服务标识,用于确保应用程序周围的信任链不被破坏。除其他外,服务标识用于强制声明的应用程序行为,无论应用程序的pod实际存在于何处。
Aqua容器安全平台
Aqua容器安全平台为Linux容器和Windows容器提供合规性和运行时安全性。
端到端容器安全管理器允许管理员将安全策略和风险配置文件应用于应用程序,并将这些配置文件与不同的应用程序构建管道相关联, 镜像扫描可以与构建和CI/CD工具集成。
Aqua容器安全平台还允许管理员使用应用程序上下文在运行时为应用程序分割网络。Aqua平台与Hashicorp Vault等秘密管理工具配合使用,它支持Grafeas API,用于访问软件组件中的元数据。Aqua平台可以记录它在应用程序的Grafeas商店中发现的任何漏洞信息,Aqua策略可以利用Grafeas定义数据来处理安全事件和软件问题。
Aqua Container Security Platform可用于本地或云端部署。免费试用版或开源版本不可用,但Aqua已经发布了许多源自该平台的开源工具。
Atomic Secured Docker
Atomic Secured Docker是Ubuntu,CentOS和Red Hat Enterprise Linux的替代Linux内核,它利用一些强化策略来抵消潜在的攻击。许多保护措施,如用户内存的强化权限,都来自Atomicorp的安全内核产品系列。其他产品,如容器突破保护,专为Docker设计。
可通过直接购买获得Atomic Secured Docker,AWS和Azure市场中提供了AWS托管的CentOS和Azure托管的CentOS和Ubuntu的版本。
NeuVector
NeuVector旨在保护整个Kubernetes集群。它适用于现有的Kubernetes管理解决方案,如Red Hat OpenShift和Docker Enterprise Edition,旨在保护部署的所有阶段的应用程序,从开发(通过Jenkins插件)到生产。
与此处的许多其他解决方案一样,NeuVector作为容器部署到现有的Kubernetes集群中,而不是通过修改现有代码。将NeuVector添加到群集时,它会发现所有托管容器并生成详细说明连接和行为的映射。检测并考虑由应用程序升级或降低引起的任何更改,以便对威胁(包括容器突破或新漏洞)的实时扫描仍然有效。
Sysdig Secure
Sysdig Secure提供了一组工具,用于监视容器运行时环境并从中获取取证。Sysdig Secure旨在与Sysdig的其他仪器工具(如Sysdig Monitor)一起运行。
可以针对每个应用程序,每个容器,每个主机或每个网络活动设置和实施环境策略。 Sysdig Secure跟踪的任何事件都可以通过主持人或容器或通过协调器(通常是Kubernetes)的镜头来查看。可以记录和检查每个容器的命令历史记录,并且可以以类似于Twistlock的“事件探索器”功能的方式记录和回放整个群集中的常规取证。
Tenable.io Container Security
Tenable.io Container Security专注于为DevOps团队提供在构建过程中对容器安全性的可见性,而不是在生产过程中。
在构建时扫描容器镜像以查找恶意软件,漏洞和策略合规性。如果镜像或镜像中的任何元素抛出红色标记,开发人员会收到问题的性质及其确切位置的通知,例如,多层镜像的特定层,因此可以修复快速下一次推动。
Tenable.io Container Security适用于大多数常见的CI/CD构建系统和容器镜像注册表,并提供所有正在运行的容器镜像,策略实施状态和存储库行为的当前状态的仪表板视图。
Twistlock
Twistlock为Docker Enterprise等“核心”容器产品未涵盖的容器添加了许多安全控制。其中一些功能包括:
- 合规性控制,用于对容器实施HIPAA和PCI规则。
- 对Jenkins等构建工具的合规性警报。
- 针对云原生应用程序进行防火墙。
- 基于有效和无效容器行为分析的容器运行时攻击保护。
- 支持Kubernetes的CIS基准测试,以便可以根据保护Kubernetes的一系列通用标准检查Kubernetes管理的部署。
2018年8月发布的Twistlock 2.5增加了新的取证分析技术,可以减少运行时开销(例如,将事件前和事件后容器状态信息存储在容器本身之外);用于映射命名空间,pod和容器的实时可视化工具的增强功能;无服务器计算系统的防御和防御。