網(wǎng)絡安全問題的重要性大概毋庸置疑，最近無數(shù)關于惡意軟件和安全漏洞的消息已充分證明了這一點。

假如你要管理一個Docker環(huán)境，并希望幫助自己的公司或用戶在下一個大漏洞來臨時避免遇到麻煩，那么你就需要了解一些保障Docker應用安全的工具，并真正地去使用它們。本文將介紹可供使用的Docker安全工具(包括了來自Docker原生的安全工具以及第三方安全工具)。

Docker Benchmark for Security

你首先需要了解的Docker安全工具之一就是 Docker Benchmark for Security 。Docker Benchmark for Security是一個簡單的腳本，它可以測試并確保你的Docker部署遵守已有的的安全***實踐(security best practices)。

Docker Benchmark for Security能夠如此實用的原因之一是，它所參照的***實踐基于的是各領域、各職位的行業(yè)專家所達成的共識。咨詢?nèi)藛T、軟件開發(fā)人員以及安全和執(zhí)行方面的專家針對***實踐的建立都貢獻過寶貴觀點及經(jīng)驗。你可以在 Center for Internet Security (互聯(lián)網(wǎng)安全中心)找到關于***實踐和其背后原因的完整描述。

CoreOS Clair

CoreOS Clair 是專門為Docker容器設計的漏洞掃描引擎。這個基于API的掃描引擎可以查看每個容器層，搜索并報告已知的漏洞。

CoreOS Clair有兩個主要的使用場景。首先，針對那些并非由你親自創(chuàng)建的鏡像，Clair可以做充分的檢查。例如，如果你從互聯(lián)網(wǎng)下載鏡像，鏡像的安全性就很難保證。CoreOS Clair可以幫助你做出判斷。它的第二個使用場景是，當你正在使用的不安全軟件時，CoreOS Clair可以阻止和/或提醒你。

Docker Security Scanning

Docker Security Scanning 是另一個可為Docker進行安全漏洞掃描的工具。而且，它不僅僅是一個單純的掃描引擎，以下幾點同樣值得注意：

首先，Docker Security不局限于掃描Docker容器，該工具還會檢查Docker安裝安全問題。此外，它能夠掃描本地和遠程兩部分的安裝。

另一個值得一看的一點是，Docker Security基于插件使用。這些插件使得Docker Security有很強的擴展性，因此隨著該工具的不斷完善，更多的功能將會添加進去。插件可以簡易編寫，因此使用它的團隊可以為實現(xiàn)自己的需求創(chuàng)建插件。

Drydock

Drydock的設計功能類似于Docker Benchmark for Security，不過在使用上更加靈活。和Docker Benchmark相似，Drydock是Docker的安全審核工具。而Drydock的獨特之處在于，Drydock允許它的用戶創(chuàng)建自定義的審核配置文件。這些配置文件可消除生成報告(噪聲警報)中那些引起大量雜亂的審核，從而調(diào)整審核過程。此外它還可用于停用和環(huán)境無關、會產(chǎn)生虛假警報的審核測試。

和其他容器安全工具不同，使用Drydock創(chuàng)建自定義配置文件非常容易。該工具有一個內(nèi)置的配置文件，包含了所有將要執(zhí)行的審核測試，通過添加注釋你就可以控制需要執(zhí)行的檢查。

你可以在 Github 上下載到Drydock

Twistlock

Twistlock 是Docker的另一個安全審核工具。和其他解決方案不同的是它是一種商業(yè)應用，提供了一個免費的開發(fā)版和一個有許可的企業(yè)版。

Twistlock掃描容器棧中的每一個單獨層，并能夠使用內(nèi)容指紋技術識別各種組件以及可能與這些組件相關聯(lián)的漏洞。

Twistlock企業(yè)版使用了機器學習來幫助識別漏洞，此外還提供了自動化策略創(chuàng)建和執(zhí)行功能。免費的開發(fā)者版本和企業(yè)版有很多相似之處，但開發(fā)者版需要手動創(chuàng)建策略，依賴于社區(qū)的支持，而它也限制了只有10個倉庫和兩臺主機。

總結(jié)

Docker在逐漸發(fā)展成熟，也被越來越多的企業(yè)投入使用，因此，確保Docker環(huán)境的安全也變得越來越重要。所幸的是，現(xiàn)有的一系列工具——包括免費版和商業(yè)版，都可以幫助你更好地維護Docker應用(如Deepfence、NeuVector和Anchore)的安全。