網(wǎng)絡(luò)安全的重要性是毋庸置疑的，無(wú)數(shù)有關(guān)惡意軟件和安全漏洞之類的新聞也不斷證實(shí)此論斷。如果你正在管理Docker環(huán)境，并且希望避免可能存在的重大漏洞，那么你需要知道一些必要的工具來(lái)保護(hù)你的Docker環(huán)境。本文介紹的應(yīng)用于Docker的安全工具，其中既包含既來(lái)自Docker本身工具，也包括第三方安全工具。

電子書(shū)Continuous Integration and Deployment with Docker and Rancher ［1］可以引導(dǎo)你將容器整合到CI/CD pipeline。盤點(diǎn)的第一個(gè)Docker安全工具就是Docker Benchmark for Security ［2］，它是一個(gè)簡(jiǎn)單的腳本程序，可以核查的Docker部署配置，以確保Docker的配置遵循最佳的安全實(shí)踐。Docker Benchmark for Security有用的最重要原因之一是，它的開(kāi)發(fā)是基于各行業(yè)、各職位專家所達(dá)成的共識(shí)。咨詢?nèi)藛T、軟件開(kāi)發(fā)人員以及安全和執(zhí)行方面的專家針對(duì)最佳實(shí)踐的建立都貢獻(xiàn)過(guò)寶貴觀點(diǎn)及經(jīng)驗(yàn)。讀者可以在Center for Internet Security ［3］中查找更詳細(xì)的描述。

CoreOS ClairCoreOS Clair ［4］是一個(gè)專為Docker容器而設(shè)計(jì)的漏洞掃描引擎，這個(gè)基于API的掃描引擎查看每個(gè)容器層，然后搜索并報(bào)告掃描到的漏洞。CoreOS Clair有兩個(gè)主要的用例，其一，CoreOS Clair 對(duì)于檢查非自己創(chuàng)建的鏡像很有用。例如，對(duì)于從網(wǎng)絡(luò)上下載的鏡像，很難確定該圖像是否安全可用，CoreOS Clair 可以用來(lái)檢測(cè)此類鏡像的安全。其二，CoreOS Clair 可以用來(lái)阻止和/或警告用戶正在使用的軟件是否安全。

Docker Security Scanning

Docker Security Scanning ［5］是Docker的另一個(gè)安全漏洞掃描工具。它不僅僅是一個(gè)單純的掃描引擎，與此工具有關(guān)的一些事情值得關(guān)注。首先，Docker安全性不限于Docker容器的掃描，Docker Security Scanning還可以檢查Docker安裝安全方面所存在的問(wèn)題。其次，Docker Security Scanning還可以掃描本地和遠(yuǎn)程兩個(gè)方面的Docker安裝。最后，Docker Security Scanning基于插件的應(yīng)用程序，這些插件使Docker Security Scanning 易于擴(kuò)展，因此隨著該工具的不斷完善，更多的功能將會(huì)添加進(jìn)去。插件可以簡(jiǎn)易編寫(xiě)，因此使用它的團(tuán)隊(duì)可以為實(shí)現(xiàn)自己的需求創(chuàng)建插件。

DrydockDrydock ［6］是功能類似于Docker Benchmark for Security并且使用更加靈活的工具。與Docker Benchmark for Security一樣，Drydock是Docker的安全審核工具。Drydock之所以如此獨(dú)特，是因?yàn)樗试S其用戶創(chuàng)建自定義審核配置文件。這些配置文件可消除生成報(bào)告（噪聲警報(bào)）中那些引起大量雜亂的審核，從而調(diào)整審核過(guò)程。此外它還可用于停用和環(huán)境無(wú)關(guān)、會(huì)產(chǎn)生虛假警報(bào)的審核測(cè)試。與其他一些可用工具不同，Drydock使創(chuàng)建自定義配置文件變得異常容易。該工具包括一個(gè)內(nèi)置配置文件，該配置文件包含將要執(zhí)行的所有審核測(cè)試，包含了所有將要執(zhí)行的審核測(cè)試，通過(guò)添加注釋你就可以控制需要執(zhí)行的檢查。

Twistlock

Twistlock ［7］是Docker的另一個(gè)安全審核工具。與其他解決方案不同的是，Twistlock是商業(yè)應(yīng)用程序，提供了一個(gè)免費(fèi)的開(kāi)發(fā)版Developer Edition和一個(gè)有許可的企業(yè)版Enterprise Edition。Twistlock掃描容器棧中的每一個(gè)單獨(dú)層，并能夠使用內(nèi)容指紋技術(shù)識(shí)別各種組件以及可能與這些組件相關(guān)聯(lián)的漏洞。Twistlock企業(yè)版使用了機(jī)器學(xué)習(xí)來(lái)幫助識(shí)別漏洞，此外還提供了自動(dòng)化策略創(chuàng)建和執(zhí)行功能。免費(fèi)的開(kāi)發(fā)者版本和企業(yè)版有很多相似之處，但開(kāi)發(fā)者版需要手動(dòng)創(chuàng)建策略，依賴于社區(qū)的支持，而它也限制了只有10個(gè)倉(cāng)庫(kù)和兩臺(tái)主機(jī)。

結(jié)論

隨著Docker的成熟并投入生產(chǎn)，因此，確保Docker環(huán)境的安全也變得越來(lái)越重要。幸運(yùn)的是，可以使用包括免費(fèi)和商業(yè)選項(xiàng)在內(nèi)的一系列工具來(lái)幫助強(qiáng)化Docker的安全。

原文標(biāo)題：容器安全工具盤點(diǎn)

文章出處：【微信公眾號(hào)：FPGA之家】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

責(zé)任編輯：haq

云原生