摘要：安全基準(zhǔn)測(cè)試工具互聯(lián)網(wǎng)安全中心為容器安全提供了指導(dǎo)方針，這一方針已被和類似的安全基準(zhǔn)工具所采用。該容器安全工具可以利用機(jī)器學(xué)習(xí)提供自適應(yīng)威脅保護(hù)這是一個(gè)可以掃描容器鏡像的托管安全解決方案，它甚至可以允許企業(yè)在它們的環(huán)境內(nèi)執(zhí)行安全策略。

在Docker容器技術(shù)興起的初期，對(duì)于許多企業(yè)而言，容器安全問(wèn)題一直是他們?cè)谏a(chǎn)環(huán)境中采用Docker的一大障礙。然而，在過(guò)去的一年中，許多開(kāi)源項(xiàng)目、初創(chuàng)公司、云供應(yīng)商甚至是Docker公司自己，已經(jīng)開(kāi)始打造用于強(qiáng)化Docker環(huán)境的新解決方案，關(guān)于容器安全的擔(dān)憂及挑戰(zhàn)正在被逐漸解決。如今，許多容器安全工具可以滿足容器整個(gè)生命周期的各方面需求。

Docker 的安全工具可以分為以下幾類：

這些工具源于Linux開(kāi)源社區(qū)，它們已經(jīng)被docker等容器系統(tǒng)吸納成為內(nèi)核級(jí)別的基礎(chǔ)安全工具。

Docker Hub是最受歡迎的容器鏡像倉(cāng)庫(kù)，但除Docker Hub之外也有很多其他鏡像倉(cāng)庫(kù)可供選擇。大多數(shù)鏡像倉(cāng)庫(kù)現(xiàn)在都有針對(duì)已知漏洞掃描容器鏡像的解決方案。

Kubernetes和Docker Swarm 是兩個(gè)被普遍使用的編排工具。并且它們的安全功能在過(guò)去一年已經(jīng)得到加強(qiáng)。

在容器驅(qū)動(dòng)的分布式系統(tǒng)中，網(wǎng)絡(luò)比以往更為重要?；诓呗缘木W(wǎng)絡(luò)安全在基于外圍的防火墻上的重要性越來(lái)越突出。

互聯(lián)網(wǎng)安全中心（CIS）為容器安全提供了指導(dǎo)方針，這一方針已被Docker Bench和類似的安全基準(zhǔn)工具所采用。

AWS ECS,、GKE和其他CaaS平臺(tái)通常是基于其母公司的laaS平臺(tái)來(lái)構(gòu)建其安全功能。然后添加容器專用功能或者借用Docker、Kubernetes的安全功能。

對(duì)于容器安全來(lái)說(shuō)，這是一個(gè)最優(yōu)選擇。其中，機(jī)器學(xué)習(xí)是中心階段，因?yàn)檫@類工具能夠?yàn)槿萜靼踩珮?gòu)建智能的解決方案。

以下是根據(jù)Docker堆棧工具安全部分，列出的可用的Docker安全工具備忘清單。

命名空間隔離了相鄰的進(jìn)程，并且限制了容器所能看到的內(nèi)容，因此可以防止攻擊的蔓延。

該工具限制了容器使用的資源，限制容器可以使用的內(nèi)容，從而防止受感染的容器占用所有的資源。

該工具為內(nèi)核提供訪問(wèn)控制。它強(qiáng)制執(zhí)行“強(qiáng)制訪問(wèn)控制（MAC）”，依據(jù)策略控制了容器訪問(wèn)內(nèi)核的方式。

該工具可以啟用進(jìn)程訪問(wèn)控制，可設(shè)置強(qiáng)制執(zhí)行策略，亦可設(shè)置為僅在違反策略時(shí)發(fā)出報(bào)告。

該工具允許進(jìn)程以“安全”狀態(tài)與內(nèi)核進(jìn)行交互，“安全”狀態(tài)下僅可執(zhí)行數(shù)量有限的一些命令。如果超出命令，那么進(jìn)程將被終止。

該工具根據(jù)常見(jiàn)漏洞和暴露列表（CVEs）掃描從Docker Hub下載的鏡像。

該工具可以根據(jù)作者驗(yàn)證從第三方文件庫(kù)下載的鏡像，作者可是個(gè)人或組織。

該工具由CoreOS Clair提供支持。這是Quay Docker安全掃描版本，它可以掃描容器鏡像漏洞。

作為AWS ECS的一部分，ECR在S3中靜態(tài)加密圖像，并通過(guò)HTTPS傳輸。它使用AWS IAM控制對(duì)鏡像倉(cāng)庫(kù)的訪問(wèn)。

用安全的方式來(lái)使用Docker Swarm存儲(chǔ)密碼、token以及其他機(jī)密數(shù)據(jù)。

保證在Kubernetes集群中容器和pod的安全，并提供訪問(wèn)控制及 SELinux 和 AppArmor等Linux內(nèi)核安全模塊。

通過(guò)提供基于策略的安全保障來(lái)保護(hù)容器網(wǎng)絡(luò)，并確保服務(wù)只能訪問(wèn)其所需要的服務(wù)和資源。

該工具為容器網(wǎng)絡(luò)強(qiáng)制實(shí)施基于策略的安全保障，并且為每個(gè)容器而非整個(gè)環(huán)境提供防火墻。

集成了Project Calico的安全功能和Flannel的連接功能，為容器提供了全面的網(wǎng)絡(luò)解決方案。

這是一個(gè)根據(jù)互聯(lián)網(wǎng)安全中心（CIS）創(chuàng)建的基準(zhǔn)清單，來(lái)檢查生產(chǎn)環(huán)境中的容器的安全狀況的腳本。

這是一個(gè)由Chef構(gòu)建的測(cè)試框架，它將合規(guī)性和安全性視為代碼。此外，它可以掃描鏡像并擁有自己的一個(gè)Docker Bench版本。

在AWS ECS中，容器是運(yùn)行在虛擬機(jī)內(nèi)的，這就為容器提供了第一層安全保護(hù)。同時(shí)ECS也添加了AWS的安全功能，如IAM、安全組以及網(wǎng)絡(luò)ACLs等。

Azure容器服務(wù)有自己的容器鏡像倉(cāng)庫(kù)來(lái)掃描鏡像，同時(shí)還可充分利用Azure的默認(rèn)安全功能，如IAM。

GKE采納了Kubernetes的安全功能并且添加了一些自己谷歌云的安全功能，如IAM和RBAC。

這是一個(gè)端到端的容器安全平臺(tái)。它利用機(jī)器學(xué)習(xí)來(lái)自動(dòng)分析應(yīng)用程序。

一個(gè)端到端的容器平臺(tái)，提供了易于擴(kuò)展的成熟API。

該工具可以掃描容器鏡像并為容器平臺(tái)強(qiáng)制運(yùn)行安全策略。同時(shí)它用Jenkins整合了CI/CD的工作流程。

該工具通過(guò)執(zhí)行服務(wù)策略來(lái)保護(hù)容器運(yùn)行安全。并且能夠基于自動(dòng)化白名單自動(dòng)開(kāi)始或停止容器運(yùn)行。

該工具是CI / CD集成安全工具，可防止已知的攻擊。

該容器安全工具可以利用機(jī)器學(xué)習(xí)提供“自適應(yīng)威脅保護(hù)”

這是一個(gè)可以掃描容器鏡像的托管安全解決方案，它甚至可以允許企業(yè)在它們的環(huán)境內(nèi)執(zhí)行安全策略。

這是一個(gè)持續(xù)的安全評(píng)估工具，可以根據(jù)CIS基準(zhǔn)測(cè)試漏洞。

本文是一個(gè)十分全面的Docker安全工具清單。通過(guò)這份清單，我們可以清楚地發(fā)現(xiàn)，保證Docker的安全需要多種工具的共同合作。因?yàn)槊總€(gè)工具都有其優(yōu)勢(shì)以及所專注的領(lǐng)域。有針對(duì)容器堆棧的內(nèi)核、鏡像倉(cāng)庫(kù)、網(wǎng)絡(luò)、編排工具以及CaaS平臺(tái)的每一層提供解決方案。最棒的是，大部分工具或者至少是大部分容器工作負(fù)載中的常用工具都非常適合彼此集成。

充分了解每個(gè)安全工具的功能及其特性之后，您可以為企業(yè)級(jí)生產(chǎn)工作負(fù)載打造固若金湯的容器安全環(huán)境。這一直是Docker的承諾，而容器安全工具把這一承諾變成了現(xiàn)實(shí)。

Twain在谷歌開(kāi)始他的職業(yè)生涯，其中，他成為了AdWords團(tuán)隊(duì)的技術(shù)支持。他的工作涉及審查堆棧跟蹤，解決影響客戶和支持團(tuán)隊(duì)的問(wèn)題以及處理升級(jí)問(wèn)題。后來(lái)，他建立了品牌社交媒體應(yīng)用程序和自動(dòng)化腳本，來(lái)幫助創(chuàng)業(yè)公司更好地管理它們的營(yíng)銷業(yè)務(wù)。今天，他作為一名技術(shù)記者，幫助IT雜志以及初創(chuàng)公司改變構(gòu)建和發(fā)布應(yīng)用程序的方式。

細(xì)數(shù)你不得不知的容器安全工具

Rancher Labs聯(lián)手NeuVector，提供容器管理與安全解決方案

30個(gè)不可不知的容器技術(shù)工具和資源

使用開(kāi)源工具fluentd-pilot收集容器日志

如若轉(zhuǎn)載請(qǐng)注明出處，謝謝！
微信號(hào)： RancherLabs