隨著云和虛擬技術(shù)發(fā)展,docker容器的使用越來(lái)越流行和方便�。有很多企業(yè)已經(jīng)把基礎(chǔ)架構(gòu)由傳統(tǒng)實(shí)體機(jī)轉(zhuǎn)移到了虛擬機(jī)化架構(gòu),基于公有云�、私有云以及容器云構(gòu)建在線服務(wù)。與容器相關(guān)的安全性對(duì)變得越來(lái)越重要�����。與傳統(tǒng)的安全性方法相比���,虛擬化架構(gòu)架構(gòu)上的差異完全需要不同的安全性方法��,必須要在服務(wù)構(gòu)建過(guò)程的早期階段了解并執(zhí)行特定的容器安全性掃描�����。為了應(yīng)對(duì)虛擬化容器云架構(gòu)下的安全需求����,本文介紹蟲(chóng)蟲(chóng)給大家介紹一些在虛擬化云架構(gòu)和容器環(huán)境下一些開(kāi)源安全工具。
按需搭建網(wǎng)站可以根據(jù)自己的需求進(jìn)行定制�,成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)構(gòu)思過(guò)程中功能建設(shè)理應(yīng)排到主要部位公司成都網(wǎng)站建設(shè)��、網(wǎng)站設(shè)計(jì)的運(yùn)用實(shí)際效果公司網(wǎng)站制作網(wǎng)站建立與制做的實(shí)際意義
Sysdig Falco
Falco是由Sysdig創(chuàng)建�����,支持K8S的開(kāi)源安全審計(jì)工具���。Falco是Cloud Native Computing Foundation(CNCF)組成部分�,它提供了對(duì)容器��、網(wǎng)絡(luò)和主機(jī)活動(dòng)的行為監(jiān)視��。
Falco最開(kāi)始是設(shè)計(jì)用于Linux的主機(jī)入侵檢測(cè)系統(tǒng)���,但是其對(duì)于容器系統(tǒng)的container.id、container.image或其規(guī)則的命名空間也適用��,所以可以用于對(duì)docker容器的行為探測(cè),基于一個(gè)容器探測(cè)器����,可以實(shí)現(xiàn)對(duì)容器行為的深入洞察,檢測(cè)惡意或未知行為����,并通過(guò)日志記錄和通知向用戶發(fā)送警報(bào)。
Falco可以跟蹤和分析容器內(nèi)部發(fā)生的動(dòng)作的行為�����,包括Linux系統(tǒng)調(diào)用�。Falco跟蹤基于容器的事件,包括:
- 容器內(nèi)運(yùn)行的shellcode;
- 在特權(quán)模式下運(yùn)行的任何容器
- 從主機(jī)裝入任何敏感目錄路徑(例如/ proc);
- 意外讀取敏感文件的嘗試(例如/etc/shadow);
- 使用任何標(biāo)準(zhǔn)系統(tǒng)二進(jìn)制文件進(jìn)行出站網(wǎng)絡(luò)連接���。
一旦檢測(cè)到任何惡意行為�����,例如使用特定的系統(tǒng)調(diào)用��,特定的參數(shù)或調(diào)用過(guò)程的屬性�,它便可以向管理員發(fā)送警報(bào)。
- 當(dāng)前版本:0.21.0
- 項(xiàng)目地址:https://falco.org/
- 源碼倉(cāng)庫(kù):https://github.com/falcosecurity/falco
OpenSCAP
OpenSCAP是一個(gè)命令行審核工具�����,可以掃描�����,加載���,編輯�����,驗(yàn)證和導(dǎo)出SCAP文檔����。SCAP(安全內(nèi)容自動(dòng)化協(xié)議)是用于企業(yè)級(jí)Linux基礎(chǔ)結(jié)構(gòu)的合規(guī)性檢查的解決方案���,由NIST維護(hù)���。它使用可擴(kuò)展配置清單描述格式(XCCDF)顯示清單內(nèi)容并概述Linux安全情況總結(jié)合規(guī)性情況。
OpenSCAP提供了一組用于合規(guī)性管理和掃描的工具����,借助oscap-docker等工具支持對(duì)容器鏡像的掃描。OpenSCAP還可以幫助用戶掃描XCCDF之類的合規(guī)性����。該軟件包還具有其他一些工具/組件:
- OpenSCAP Base 用于執(zhí)行配置和漏洞掃描;
- OpenSCAP Daemon在后臺(tái)運(yùn)行的服務(wù);
- SCAP Workbench 一種提供執(zhí)行常見(jiàn)oscap任務(wù)的簡(jiǎn)便方法的UI界面應(yīng)用;
- SCAPtimony 存儲(chǔ)用于用戶基礎(chǔ)結(jié)構(gòu)的SCAP結(jié)果的中間件。
- 當(dāng)前版本:1.3.2
- 項(xiàng)目地址:http://www.open-scap.org/
- 源碼倉(cāng)庫(kù):https://github.com/OpenSCAP/openscap
Clair
Clair是一個(gè)開(kāi)源漏洞掃描程序和靜態(tài)分析工具�,用于分析appc和docker容器中的漏洞。
Clair會(huì)定期從多個(gè)來(lái)源收集漏洞信息��,并將其存儲(chǔ)在數(shù)據(jù)庫(kù)中���。它提供了公開(kāi)API供客戶端執(zhí)行和掃描調(diào)用��,用戶可以使用Clair API列出其容器鏡像��,創(chuàng)建鏡像中功能的列表并在數(shù)據(jù)庫(kù)中保存�����。當(dāng)發(fā)生漏洞元數(shù)據(jù)更新時(shí)�,可以通過(guò)Webhook觸發(fā)送警報(bào)/通知將漏洞的先前狀態(tài)和新?tīng)顟B(tài)以及受影響鏡像發(fā)送到配置的用戶�����。作為部署腳本的一部分,Clair支持多種第三方工具來(lái)從終端掃描鏡像����。比如Klar,就是是很好的選擇之一���。
該工具的安裝詳細(xì)信息在GitHub上可用��,可以以Docker容器的方式運(yùn)行���。它還提供Docker Compose文件和Helm Chart,以簡(jiǎn)化安裝過(guò)程���,也可以從源代碼進(jìn)行編譯����。
Clair項(xiàng)目的目標(biāo)是促進(jìn)以透明的方式了解基于容器的基礎(chǔ)架構(gòu)的安全性�����。所以�����,項(xiàng)目以法語(yǔ)單詞命名,法語(yǔ)單詞具有明亮��,清晰和透明的英語(yǔ)含義
- 當(dāng)前版本:2.0.2
- 項(xiàng)目地址:https://coreos.com/clair/docs/latest/
- 源碼倉(cāng)庫(kù):https://github.com/quay/clair
Dagda
Dagda是一種開(kāi)源的靜態(tài)分析工具�����,用于對(duì)Docker鏡像或容器中的已知漏洞����,惡意軟件����,病毒,特洛伊木馬和其他惡意威脅執(zhí)行靜態(tài)分析��。Dagda可以監(jiān)控Docker守護(hù)程序并運(yùn)行Docker容器以發(fā)現(xiàn)違規(guī)或不常見(jiàn)的活動(dòng)�����。該工具支持常見(jiàn)的Linux基本鏡像���,例如Red Hat���,CentOS�����,F(xiàn)edora����,Debian����,Ubuntu,OpenSUSE和Alpine等����。
Dagda附帶一個(gè)Docker Compose文件,可以輕松運(yùn)行評(píng)估��。Dagda雖然支持對(duì)容器的監(jiān)視���,但是必須與Sysdig Falco集成�。Dagda不支持對(duì)容器注冊(cè)表或存儲(chǔ)庫(kù)掃描�,更適于手動(dòng)按需掃描。
Dagda部署后�,可以從CVS數(shù)據(jù)庫(kù)下載已知漏洞和其利用POC并保存到MongoDB中。然后���,它會(huì)收集有Docker鏡像中的軟件的詳細(xì)信息��,并和MongoDB中先前存儲(chǔ)的詳細(xì)信息進(jìn)行比對(duì)驗(yàn)證每個(gè)產(chǎn)品及其版本是否沒(méi)有漏洞���。
Dagda可以將ClamAV作為防病毒引擎�����,用于識(shí)別Docker容器/鏡像中包含的木馬,惡意軟件�,病毒和其他惡意威脅。
Dagda主要目標(biāo)用戶是系統(tǒng)管理員����,開(kāi)發(fā)人員和安全專業(yè)人員。
- 當(dāng)前版本:0.7.0
- 源碼倉(cāng)庫(kù):https://github.com/eliasgranderubio/dagda
Anchore Engine
Anchore Engine是一個(gè)開(kāi)放源碼的DevSecOps全棧安全工具����,旨在分析和掃描容器鏡像中的漏洞。該工具可以作為Docker容器鏡像使用����,可以作為獨(dú)立安裝或在業(yè)務(wù)流程平臺(tái)中運(yùn)行。Anchore Engine可讓用戶能夠識(shí)別����、測(cè)試和解決創(chuàng)建應(yīng)用程序的Docker鏡像中的漏洞���。其企業(yè)版OSS提供了策略管理,摘要儀表板�,用戶管理,安全和策略評(píng)估報(bào)告��,圖形客戶端控件以及其他后端模塊和功能��。
Anchore Engine提供Docker compose文件��,可以一鍵構(gòu)建docker容器安裝���。它支持后端/服務(wù)器端組件��,可以通過(guò)CLI工具(例如Anchore CLI或Jenkins插件)的形式進(jìn)行掃描��。它還可以對(duì)倉(cāng)庫(kù)中的添標(biāo)簽�,添加后���,它將定期輪詢?nèi)萜髯?cè)表���,其進(jìn)行分析�。用戶還可以使用添加新查詢��,策略和圖像分析的插件來(lái)擴(kuò)展Anchore Engine��?����?梢酝ㄟ^(guò)RESTful API或Anchore CLI直接訪問(wèn)����。
- 當(dāng)前版本:0.7.0
- 項(xiàng)目地址:https://anchore.com/
- 源碼倉(cāng)庫(kù):https://github.com/anchore/anchore-engine
總結(jié)
開(kāi)源安全工具在保護(hù)基于容器的基礎(chǔ)結(jié)構(gòu)中起著重要作用�����。我們可以根據(jù)業(yè)務(wù)需求和優(yōu)先級(jí)選擇適宜的工具(組合)進(jìn)行云架構(gòu)下安全保障:比如使用OpenSCAP和Clair進(jìn)行合規(guī)性分析�,使用Falco進(jìn)行安全審計(jì),使用Dagda可以用于對(duì)已知漏洞進(jìn)行靜態(tài)分析����,用Anchore之進(jìn)行組合安全保障。
網(wǎng)站標(biāo)題:DevSecOps開(kāi)源安全工具推薦
標(biāo)題路徑:
http://uogjgqi.cn/article/ccdjdpg.html
