服务热线:

新闻资讯
公司新闻
行业新闻
行业新闻
为Docker容器保驾护航的8款工具

近些年来,Docker容器遭到许多缝隙的进犯。进犯实在太多了,许多公司推出针对安全的应用程序以协助增强该渠道。当然,不只仅为容器增加安全,或协助构建和运转容器的引擎。从服务到最佳实践,安全从头开端做起。

瞻博网络的网络战略主管James Kelly说: 不行能有哪种东西能一应俱全,并维护企业安排远离或许犯错的一切方面。 Kelly以为,有许多方面需求考虑,包含安全编程实践、构建签名、映像签名、版别办理、安全网络、为下一代防火墙针对进口-出口和东西流量履行深度包查看、高档要挟及防备、流量加密、拜访操控列表、微分段和应用程序API身份等。

安全在大规模环境下变得尤为重要。为此,Kelly坚称开发人员和办理员有必要考虑 多租户、微分段以及容器化的NGFW服务链。

可是,开发人员和办理员能够运用哪些东西来增强容器布置的安全性呢?无妨一探终究。

开发映像

容器方面最大的安全问题之一是构建那些容器的映像。假如你根据受损的映像开发容器,会形成严重损坏。为此,Alcide的首席技术官兼联合创始人Gadi Naor说: 容器方面的最佳实践是创立一个含有构建东西的开发容器映像,针对特定言语的东西链团队需求对其工程进行迭代。一般,你从根底操作系统映像开端下手,然后将相关软件包添加到所运用的运转时言语中。

换句话说,内部构建自己的映像。这应该被以为是布置容器的安全支柱。

Harbor

Harbor是一种开源容器注册中心,若与Red Hat的Clair缝隙扫描东西结合运用,还能够扫描映像查找已知缝隙。装置后,Harbor充任存储库,然后能够扫描任何上传的映像以查找问题。关于一切容器开发人员和办理员来说,这样的扫描渠道都应该被视为必不行少的东西。了解映像文件存在的问题关于保证你在布置安全的容器大有协助。

根据人物的拜访操控

除了运用安全映像外,RBAC应该是每个容器工程师都彻底了解的东西。RBAC确认是否答应用户经过本地人物和绑定对特定项目履行操作。假如你答应开发人员拜访集群,这意味着他们也能够拜访Kubernetes API。为什么这如此重要?据Red Hat的容器首席产品司理Scott McCarty宣称: 假如开发人员拜访这些API,不管在直接的开发环境中仍是在直接的出产环境中,根据人物的拜访关于约束歹意或无意形成的损坏都至关重要。

Hadolint

Hadolint是Haskell Dockerfile代码查看东西。正如你能够代码查看编程言语那样,也能够代码查看静态文件。但为什么代码查看Dockerfile呢?很简单:查看优化、编程过错、缺点、类型过错、可疑构件以及或许的毛病。代码查看Dockerfile不只带来更整齐的代码,还根绝过错,带来更小的Docker映像。更棒的是,Hadolint能够集成到你的CI管道中,因而查看你的代码可主动履行。针对运用代码查看东西,Naor说: 它将促进此类用户完善其容器创立技术,一起直接洞悉安全最佳实践。

Snyk

Snyk有助于确认构建期间潜在的运转时应用程序危险。具体来说,假如整合到CI管道中,Snyk能够不断发现并修正容器中的缝隙。Snyk的作业原理是,查看相关的OS软件包办理器清单信息来扫描OS软件包,然后根据此信息,Snyk剖析映像查找要害应用程序二进制文件,并将结果与 已知的缝隙数据库进行比较。不像Harbor/Clair仅扫描映像查找缝隙,Snyk还能够扫描你的Dockerfile,对你的根本映像进行更具体的剖析。

WhiteSource

WhiteSource是一种开源安全和许可证合规办理渠道,可主动识别所构建软件中的一切组件和依靠项。运用WhiteSource查找开源组件时,其浏览器插件会显现任何陈述的过错、安全危险、不良许可证、每个组件的新版别等等。若能运用相似WhiteSource的东西,你就能够对想要添加到容器构建中的组件做出更合理的决议计划。

Kubernetes Advisor

Alcide供给了Kubernetes Advisor,这个多集群缝隙扫描器能够履行最佳实践和合规查看,以便扫描缝隙、查找放错方位的秘要内容和过多的秘要拜访权限、加固作业负载、Istio安全装备、Ingress操控器的最佳安全实践和Kubernetes API服务器拜访权等。一旦你设置好了Kubernetes Advisor,能够经过一种易于运用的、根据Web的仪表板,对Kubernetes集群进行继续的审阅和合规。

Styra

假如你期望面临整个Kubernetes生态系统界说、履行和验证安全,或许应该考虑Styra。 Styra结合了开源和专有解决方案,以供给合规维护机制,然后简化安全应用程序的合规。有了Styra,你不再需求将合规硬编码到软件中。相反,你只需界说一次战略,之后就能够随时随地履行战略。Styra包含内置的合规战略库、在提交之前能够监测和验证战略改变、运用声明性模型来界说所需状况以及避免安全漂移等。

当然,有许多东西能够协助你保证容器安全,但本文应该是协助你入门的起点。别忽视从头开端构建安全容器的根本原则。此外在横向扩展时,保证经过运用功能强大的东西取得明显的作用,然后深入开展你的作业。

原文标题:8 Tools To Secure Your Docker Containers,作者:Jack Wallen

关注官方微信

全国服务热线