【51CTO.com快譯】Docker容器可幫助軟件開發(fā)人員更快地構(gòu)建應(yīng)用程序，并更靈活地部署。容器還可以幫助開發(fā)人員使軟件更安全。

自動(dòng)分析進(jìn)入容器的軟件組件、跨容器集群和多個(gè)應(yīng)用程序版本的行為策略，以及跟蹤和管理漏洞數(shù)據(jù)的創(chuàng)新技術(shù)，這些只是容器為整個(gè)應(yīng)用程序生命周期提高安全性的幾個(gè)途徑。

不過(guò)，這些當(dāng)中多少是開箱即用的是另一回事。Docker和容器管理系統(tǒng)(比如Kubernetes)提供了基本功能，但并不總是提供更強(qiáng)的功能，從而將更高級(jí)的安全監(jiān)控和執(zhí)行留給了第三方工具。

[[250515]]

以下是七款最近改進(jìn)的容器安全產(chǎn)品和服務(wù)，它們?yōu)樵贫撕捅镜財(cái)?shù)據(jù)中心中的容器提供了漏洞檢測(cè)、合規(guī)檢查、白名單、防火墻和運(yùn)行時(shí)保護(hù)等功能。

1.Aporeto

Aporeto專注于運(yùn)行時(shí)保護(hù)，類似于下面討論的NeuVector產(chǎn)品。該公司提供了保護(hù)Kubernetes工作負(fù)載的微服務(wù)安全產(chǎn)品和保護(hù)分布式環(huán)境中運(yùn)行的應(yīng)用程序的云網(wǎng)絡(luò)防火墻系統(tǒng)。

若是Kubernetes工作負(fù)載，Aporeto可以保護(hù)本地環(huán)境和托管環(huán)境(比如Google Kubernetes Engine)。每個(gè)創(chuàng)建的資源被分配了一個(gè)服務(wù)標(biāo)識(shí)，用于確保應(yīng)用程序周圍的信任鏈未破壞。除此之外，服務(wù)標(biāo)識(shí)還用于執(zhí)行聲明的應(yīng)用程序行為，無(wú)論應(yīng)用程序的pod實(shí)際上在哪里。

注冊(cè)帳戶后，可根據(jù)要求索取Aporeto的定價(jià)?？擅赓M(fèi)試用評(píng)估30天。

2.Aqua容器安全平臺(tái)

Aqua容器安全平臺(tái)為L(zhǎng)inux容器和Windows容器提供了合規(guī)和運(yùn)行時(shí)安全性。

這款端到端容器安全管理器讓管理員可以將安全策略和風(fēng)險(xiǎn)配置文件應(yīng)用于應(yīng)用程序，并將這些配置文件與不同的應(yīng)用程序構(gòu)建管道關(guān)聯(lián)起來(lái)。映像掃描可與構(gòu)建和CI/CD工具集成起來(lái)。

Aqua容器安全平臺(tái)還讓管理員可以利用應(yīng)用程序上下文，在運(yùn)行時(shí)為應(yīng)用程序分割網(wǎng)絡(luò)。Aqua平臺(tái)與Hashicorp Vault等秘密管理工具配合使用，它支持Grafeas API，用于訪問(wèn)來(lái)自軟件組件的元數(shù)據(jù)。Aqua平臺(tái)可以記錄它在應(yīng)用程序的Grafeas商店中找到的任何漏洞信息，Aqua策略可以利用Grafeas定義數(shù)據(jù)來(lái)處理安全事件和軟件問(wèn)題。

Aqua容器安全平臺(tái)可用于本地或云端部署。沒(méi)有免費(fèi)試用版或開源版，但Aqua發(fā)布了許多源自該平臺(tái)的開源工具。

3.Atomic Secured Docker

Atomic Secured Docker是適用于Ubuntu、CentOS和Red Hat Enterprise Linux的替代Linux內(nèi)核，它利用許多加固策略來(lái)抵消潛在的攻擊。許多保護(hù)措施(比如針對(duì)用戶空間內(nèi)存的加固權(quán)限)來(lái)自Atomicorp的安全內(nèi)核產(chǎn)品系列。容器突破防護(hù)等其他產(chǎn)品專為Docker設(shè)計(jì)。

可通過(guò)直接購(gòu)買獲得Atomic Secured Docker。AWS和Azure市場(chǎng)上還有針對(duì)AWS托管的CentOS以及Azure托管的CentOS和Ubuntu的版本。

4.NeuVector

NeuVector旨在保護(hù)整個(gè)Kubernetes集群。它與現(xiàn)有的Kubernetes管理解決方案兼容，比如Red Hat OpenShift和Docker企業(yè)版，旨在保護(hù)部署所有階段的應(yīng)用程序，從開發(fā)階段(通過(guò)Jenkins插件)到生產(chǎn)階段，全程保護(hù)。

與本文介紹的許多其他解決方案一樣，NeuVector作為容器部署到現(xiàn)有的Kubernetes集群中，而不是通過(guò)修改現(xiàn)有代碼來(lái)部署。NeuVector添加到集群后，它會(huì)發(fā)現(xiàn)所有托管的容器，并生成詳細(xì)表明連接和行為的映射圖。可以檢測(cè)并考慮到應(yīng)用程序增加或減少引起的任何變化，以便查找威脅(包括容器突破或新漏洞)的實(shí)時(shí)掃描仍然有效。

NeuVector的定價(jià)取決于運(yùn)行中的Docker主機(jī)的數(shù)量，起價(jià)為每年9950美元。提供免費(fèi)試用版。

5.Sysdig Secure

Sysdig Secure提供了一組用于監(jiān)控容器運(yùn)行時(shí)環(huán)境并從中獲取取證分析數(shù)據(jù)的工具。 Sysdig Secure旨在與Sysdig的其他監(jiān)測(cè)工具(如Sysdig Monitor)一起運(yùn)行。

可以根據(jù)每個(gè)應(yīng)用程序、容器、主機(jī)或網(wǎng)絡(luò)活動(dòng)來(lái)設(shè)置和實(shí)施環(huán)境策略。Sysdig Secure跟蹤的任何事件都可以由主機(jī)或容器通過(guò)編排器(通常是Kubernetes)的視角來(lái)查看?？梢杂涗浐推饰雒總€(gè)容器的命令歷史記錄，并記錄和回放跨整個(gè)集群的總體取證分析數(shù)據(jù)，類似Twistlock的“事件探索器”功能那樣。

Sysdig僅提供收費(fèi)的Sysdig Secure，提供云版本和本地版。

6.Tenable.io Container Security

Tenable.io Container Security專注于讓Devops團(tuán)隊(duì)在構(gòu)建過(guò)程中深入了解容器的安全性，而不是在生產(chǎn)環(huán)境中事后了解。

構(gòu)建時(shí)掃描容器映像以查找惡意軟件、漏洞和策略合規(guī)情況。如果映像或映像中的任何元素發(fā)出警報(bào)，開發(fā)人員會(huì)接到表明問(wèn)題的性質(zhì)及確切位置的通知，比如多層映像的特定層，以便下一次發(fā)布時(shí)迅速修復(fù)。

Tenable.io Container Security適用于大多數(shù)常見的CI/CD構(gòu)建系統(tǒng)和容器映像注冊(cè)中心，并通過(guò)儀表板顯示了所有正在運(yùn)行中的容器映像的當(dāng)前狀態(tài)、策略實(shí)施狀態(tài)和存儲(chǔ)中心行為。

可索要Tenable.io Container Security的定價(jià)。免費(fèi)試用期為60天。

7.Twistlock

Twistlock為未被“核心”容器產(chǎn)品(如Docker Enterprise)覆蓋的容器添加了許多安全控制。其中一些功能包括：

• 用于對(duì)容器實(shí)施HIPAA和CI規(guī)則的合規(guī)控制。
• 針對(duì)Jenkins等構(gòu)建工具的合規(guī)警報(bào)。
• 針對(duì)云原生應(yīng)用程序的防火墻。
• 基于分析有效和無(wú)效的容器行為的結(jié)果，對(duì)容器提供運(yùn)行時(shí)攻擊防護(hù)。
• 支持Kubernetes的CIS基準(zhǔn)測(cè)試，以便可以根據(jù)保護(hù)Kubernetes的一系列通用標(biāo)準(zhǔn)，檢查由Kubernetes管理的部署。

2018年8月發(fā)布的Twistlock 2.5增加了減少運(yùn)行時(shí)開銷的新的取證分析技術(shù)(比如將事件前后的容器狀態(tài)信息存儲(chǔ)在容器本身之外)、對(duì)用于映射命名空間、pod和容器的實(shí)時(shí)可視化工具所作的改進(jìn)之處以及針對(duì)無(wú)服務(wù)器計(jì)算系統(tǒng)的防御。

Twistlock提供收費(fèi)的企業(yè)版。之前提供免費(fèi)30天試用版，但現(xiàn)不提供。

原文標(biāo)題：7 container security tools to lock down Docker and Kubernetes，作者：Serdar Yegulalp

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】