【51CTO.com快譯】說到容器安全，你會發(fā)現(xiàn)好多開源工具有助于防止像特斯拉那樣遭受的Kubernetes集群泄密災(zāi)難。但容器安全仍然很棘手，所以你需要知道往工具箱添加哪些實用程序。

當(dāng)然，市面上不乏商業(yè)容器安全產(chǎn)品，但開源項目給你帶來的幫助很大。許多人專注于審計和跟蹤C(jī)IS、國家漏洞數(shù)據(jù)庫及其他機(jī)構(gòu)建立的通用漏洞披露(CVE)數(shù)據(jù)庫和基準(zhǔn)。然后，工具掃描容器鏡像，顯示內(nèi)容，將內(nèi)容與已知漏洞的這些清單進(jìn)行比較。

由于可以幫助團(tuán)隊在構(gòu)建管道時早期發(fā)現(xiàn)問題，容器審計自動化以及使用其他容器安全流程對企業(yè)大有好處。

雖然市面上有好多開源容器安全工具，但下面是擁有***用戶社區(qū)的應(yīng)用好且成熟的幾個工具。

[[238488]]

1. Docker Bench for Security

對照安全基準(zhǔn)審計Docker容器的腳本

Docker Bench for Security面向使用Docker社區(qū)版管理容器的開發(fā)人員，它是Docker的開源腳本，用于對照常見的安全***實踐審計容器。

Docker Bench的測試基于行業(yè)標(biāo)準(zhǔn)CIS基準(zhǔn)，幫助手動測試漏洞的繁瑣過程實現(xiàn)自動化。

Docker的安全負(fù)責(zé)人Diogo Mónica稱它是“測試容器的容器”。你可以按如下方式啟動容器：

docker run -it --net host --pid host --userns host --cap-add audit_control \ -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \ -v /var/lib:/var/lib \ -v /var/run/docker.sock:/var/run/docker.sock \ -v /usr/lib/systemd:/usr/lib/systemd \ -v /etc:/etc --label docker_bench_security \ docker/docker-bench-security 

結(jié)果會為每個安全配置基準(zhǔn)生成Info、Warning和Pass等日志。也可以從Docker主機(jī)運(yùn)行該實用程序，通過Docker Compose克隆它，或直接從基本主機(jī)運(yùn)行它。

一個缺點是輸出結(jié)果缺乏機(jī)器可讀性。許多社區(qū)軟件包可增強(qiáng)Docker Bench，比如Docker Bench Test、drydock和Actuary。

2. Clair

API驅(qū)動的靜態(tài)容器安全分析工具，擁有龐大的CVE數(shù)據(jù)庫

Clair由CoreOS開發(fā)，對容器漏洞進(jìn)行靜態(tài)分析。它還用在Quay.io中，這是一種替代Docker Hub的公共容器注冊中心。

Clair可獲取許多漏洞數(shù)據(jù)源，比如Debian Security Bug Tracker、Ubuntu CVE Tracker和Red Hat Security Data。由于Clair使用如此多的CVE數(shù)據(jù)庫，因此審計非常全面。

Clair先索引容器鏡像里面的一系列功能。然后，使用Clair API，開發(fā)人員可以查詢數(shù)據(jù)庫，查找與特定鏡像有關(guān)的漏洞。

想開始使用Clair，請參閱Running Clair指南。很容易將它部署到Kubernetes集群：

git clone https://github.com/coreos/clair cd clair/contrib/helm cp clair/values.yaml ~/my_custom_values.yaml vi ~/my_custom_values.yaml helm dependency update clair helm install clair -f ~/my_custom_values.yaml 

Clair的功能很靈活。它允許你添加自己的驅(qū)動程序用于其他行為。此外，執(zhí)行另外的API調(diào)用以便審計特定容器鏡像是一種流暢的、機(jī)器驅(qū)動的方法，不必搜索龐大的報告日志。

3. Cilium

內(nèi)核層可感知API的網(wǎng)絡(luò)和安全工具

Cilium的使命就是保護(hù)網(wǎng)絡(luò)連接。Cilium與Docker和Kubernetes等Linux容器平臺兼容，增加了安全可見性和控制邏輯。

它基于BPF(以前名為Berkeley數(shù)據(jù)***濾器)，這是一種Linux內(nèi)核技術(shù)。低級實現(xiàn)的一個有意思的方面是，無需更改應(yīng)用程序代碼或容器配置，就可以應(yīng)用和更新Cilium安全策略。

鑒于現(xiàn)代微服務(wù)開發(fā)變化不定的生命周期和快速的容器部署，CoreOS開發(fā)了Cilium。 將它與Kubernetes集成起來簡單直觀;下面顯示了如何部署Cilium：

$ kubectl create -f ./cilium.yaml clusterrole "cilium" created serviceaccount "cilium" created clusterrolebinding "cilium" created configmap "cilium-config" created secret "cilium-etcd-secrets" created daemonset "cilium" created $ kubectl get ds --namespace kube-system NAME DESIRED CURRENT READY NODE-SELECTOR AGE cilium 1 1 1 2m 

Cilium的支持和社區(qū)很棒。你會找到大量的指南和文檔、專門的Slack頻道，甚至每周可以與項目維護(hù)人員聯(lián)絡(luò)。

4. Anchore

使用CVE數(shù)據(jù)和用戶定義的策略檢查容器安全的工具

Anchore Engine是一種用于分析容器鏡像的工具。除了基于CVE的安全漏洞報告外，Anchore Engine還可以使用自定義策略評估Docker鏡像。

策略會導(dǎo)致Pass或Fail的結(jié)果。策略基于白名單或黑名單、登錄信息、文件內(nèi)容、配置類型或用戶生成的其他線索。

Anchore打包成了Docker容器鏡像，可以獨(dú)立運(yùn)行，也可以在Kubernetes等編排平臺上運(yùn)行。它還有與Jenkins和GitLab集成的功能，實現(xiàn)持續(xù)集成/持續(xù)交付(CI/CD)。

Anchore命令行界面(CLI)是操作Anchore Engine的簡易方法。比如說，該CLI命令返回有關(guān)鏡像內(nèi)容的詳細(xì)信息：

anchore-cli image content INPUT_IMAGE CONTENT_TYPE 

而該示例命令將對鏡像執(zhí)行漏洞掃描：

anchore-cli image vuln docker.io/library/debian:latest os 

Anchore輸出了漏洞詳細(xì)信息、威脅級別、CVE標(biāo)識符及其他相關(guān)信息。由于用戶定義的規(guī)則是使用Anchore Cloud Service圖形用戶界面(GUI)創(chuàng)建的，它運(yùn)行起來類似SaaS。

5. OpenSCAP Workbench

用于為各種平臺創(chuàng)建和維護(hù)安全策略的環(huán)境

OpenSCAP是面向IT管理員和安全審計員的生態(tài)系統(tǒng)，包括許多開放式安全基準(zhǔn)指南、配置基準(zhǔn)和開源工具。

在Fedora、Red Hat Enterprise Linux、CentOS或Scientific Linux上運(yùn)行的人可以將OpenSCAP Workbench作為GUI來安裝，以便在虛擬機(jī)、容器和鏡像上運(yùn)行掃描。可使用該命令安裝OpenSCAP Workbench：

#yum install scap-workbench 

想對照SCAP策略指南和CVE驗證容器，請使用OpenSCAP附帶的oscap-docker實用程序。

OpenSCAP以NIST認(rèn)證的安全內(nèi)容自動化協(xié)議(SCAP)為中心，提供許多機(jī)器可讀的安全策略。OpenSCAP安全指南指出，該項目的目標(biāo)是“允許多家組織通過避免冗余，高效地開發(fā)安全內(nèi)容。”

由于OpenSCAP的應(yīng)用比本文中的其他工具更廣泛，對于希望為整個平臺創(chuàng)建安全策略的團(tuán)隊而言，它是不錯的選擇。

6. Dagda

用于在Docker容器中掃描漏洞\特洛伊木馬、病毒和惡意軟件的工具

Dagda是另一種用于容器安全靜態(tài)分析的工具。其CVE源包括OWASP依賴項檢查、Red Hat Oval和Offensive Security漏洞數(shù)據(jù)庫。

想使用Dagda掃描Docker容器，先要往Mongo數(shù)據(jù)庫填充漏洞數(shù)據(jù)。執(zhí)行該命令即可分析單個Docker鏡像：

python3 dagda.py check --docker_image jboss/wildfly 

可以遠(yuǎn)程運(yùn)行它，也可以不斷調(diào)用它來監(jiān)視活動的Docker容器。輸出顯示了漏洞數(shù)量、嚴(yán)重性級別及其他詳細(xì)信息，有助于修復(fù)。

Dagda的一個好處是涵蓋廣泛的漏洞數(shù)據(jù)。這意味著可直接訪問大量更新后的、全面的漏洞數(shù)據(jù)庫。它也很靈活，可以通過CLI和REST API來控制它。

7. Notary

使用服務(wù)器加強(qiáng)容器安全的框架，用于以加密方式委派責(zé)任

Notary是事實上的Docker鏡像簽名框架，現(xiàn)已開源。Docker開發(fā)了它，然后在2017年捐給了云原生計算基金會。

Notary的任務(wù)就是確保責(zé)任分離;使用Notary，開發(fā)人員可以在容器之間委派角色、定義職責(zé)。該軟件包提供了服務(wù)器和客戶端，提供一種加密安全的方法來發(fā)布和驗證內(nèi)容。

想在本地部署Notary，可通過克隆repo來開始入手。然后，使用Docker Compose部署本地配置：

$ docker-compose build $ docker-compose up -d $ mkdir -p ~/.notary && cp cmd/notary/config.json cmd/notary/root-ca.crt ~/.notary 

依賴更新框架和Go語言作為依賴項，Notary可以驗證容器應(yīng)用程序鏡像的加密完整性。

8. Grafaes

幫助管理內(nèi)部安全策略的元數(shù)據(jù)API

Grafaes可以幫助你創(chuàng)建自己的容器安全掃描項目。該容器安全工具于2017年底發(fā)布，由IBM和谷歌開發(fā)。

開發(fā)人員可以使用Grafaes(被稱為“組件元數(shù)據(jù)API”)來定義虛擬機(jī)和容器的元數(shù)據(jù)。 IBM的Vulnerability Advisor也集成到項目中。

想了解實際的案例，不妨看看Shopify如何使用Grafaes管理50萬個容器鏡像的元數(shù)據(jù)(https://cloudplatform.googleblog.com/2018/04/exploring-container-security-digging-into-Grafeas-container-image-metadata.html?m=1)。團(tuán)隊借助Kritis，在使用Grafeas元數(shù)據(jù)的Kubernetes集群上執(zhí)行安全策略。

能夠快速獲取容器元數(shù)據(jù)有助于加快修復(fù)工作，從而縮短從漏洞利用到解決漏洞的時間。雖然Grafaes是開源的，但它由大型軟件提供商維護(hù)，這有助于長期支持。

9. Sysdig Falco

提供了行為活動監(jiān)控，可深入了解容器

Falco是一種可識別Kubernetes的安全審計工具，由Sysdig開發(fā)，注重對容器、主機(jī)和網(wǎng)絡(luò)活動實施行為監(jiān)控。使用Falco，開發(fā)人員可以設(shè)置持續(xù)檢查基礎(chǔ)設(shè)施的機(jī)制、檢測異常情況，并為任何類型的Linux系統(tǒng)調(diào)用設(shè)置警報。

Falco文檔建議用戶將Falco作為Docker容器來運(yùn)行，可以使用這些命令安裝它。部署后，標(biāo)準(zhǔn)輸出Falco警報如下所示：

stdout_output: enabled: true 10:20:05.408091526: Warning Sensitive file opened for reading by non-trusted program 

可以使用Falco監(jiān)控shell何時在容器中運(yùn)行、容器掛載到哪里、敏感文件的意外讀取、出站網(wǎng)絡(luò)嘗試或其他可疑調(diào)用。Sysdig在此(https://github.com/draios/sysdig)提供了更多的容器故障排除資料。

10. Banyanops Collector

靜態(tài)分析Docker容器鏡像的框架

Collector得到Banyanops的支持，這個開源實用程序可用于“窺視”Docker容器鏡像文件的內(nèi)部。使用Collector，開發(fā)人員可以收集容器數(shù)據(jù)、執(zhí)行安全策略等。

首先，Banyanops可以在私有注冊中心上運(yùn)行，也可以作為Docker Hub上的容器來運(yùn)行。Banyanops還提供可更深入數(shù)據(jù)分析的SaaS產(chǎn)品，所以如果遇到有限的功能，注意商家的向上銷售。

原文標(biāo)題：10+ top open-source tools for Docker security，作者：Bill Doerrfeld

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】