這些超強工具為開發(fā)和生產(chǎn)中的容器帶來了監(jiān)控，審計，運行時防御和基于策略的控制。

Docker容器可幫助軟件開發(fā)人員更快地構建應用程序并更靈活地部署它們，容器還可以幫助開發(fā)人員使軟件更安全。

[[251666]]

自動分析軟件組件進入容器，跨容器集群和多個應用程序版本的行為策略，以及跟蹤和管理漏洞數(shù)據(jù)的創(chuàng)新發(fā)展，這些只是容器在整個應用程序生命周期中提高安全性的一些方式。

盡管如此，其中有多少是開箱即用的?這是另外一回事，Docker和容器管理系統(tǒng)(如Kubernetes)提供了基礎，將更高級的安全監(jiān)控留給第三方工具。

以下是七個最近改進的容器安全產(chǎn)品和服務，它們在云和你自己的數(shù)據(jù)中心中為容器提供漏洞檢測，合規(guī)性檢查，白名單，防火墻和運行時保護等功能。

Aporeto

Aporeto專注于運行時保護，類似于下面討論的NeuVector產(chǎn)品。該公司提供微服務安全產(chǎn)品以保護Kubernetes工作負載和云網(wǎng)絡防火墻系統(tǒng)，以保護在分布式環(huán)境中運行的應用程序。

通過Kubernetes工作負載，Aporeto可以保護本地和托管環(huán)境(例如，Google Kubernetes Engine)。為每個創(chuàng)建的資源分配一個服務標識，用于確保應用程序周圍的信任鏈不被破壞。除其他外，服務標識用于強制聲明的應用程序行為，無論應用程序的pod實際存在于何處。

Aqua容器安全平臺

Aqua容器安全平臺為Linux容器和Windows容器提供合規(guī)性和運行時安全性。

端到端容器安全管理器允許管理員將安全策略和風險配置文件應用于應用程序，并將這些配置文件與不同的應用程序構建管道相關聯(lián)， 鏡像掃描可以與構建和CI/CD工具集成。

Aqua容器安全平臺還允許管理員使用應用程序上下文在運行時為應用程序分割網(wǎng)絡。Aqua平臺與Hashicorp Vault等秘密管理工具配合使用，它支持Grafeas API，用于訪問軟件組件中的元數(shù)據(jù)。Aqua平臺可以記錄它在應用程序的Grafeas商店中發(fā)現(xiàn)的任何漏洞信息，Aqua策略可以利用Grafeas定義數(shù)據(jù)來處理安全事件和軟件問題。

Aqua Container Security Platform可用于本地或云端部署。免費試用版或開源版本不可用，但Aqua已經(jīng)發(fā)布了許多源自該平臺的開源工具。

Atomic Secured Docker

Atomic Secured Docker是Ubuntu，CentOS和Red Hat Enterprise Linux的替代Linux內核，它利用一些強化策略來抵消潛在的攻擊。許多保護措施，如用戶內存的強化權限，都來自Atomicorp的安全內核產(chǎn)品系列。其他產(chǎn)品，如容器突破保護，專為Docker設計。

可通過直接購買獲得Atomic Secured Docker，AWS和Azure市場中提供了AWS托管的CentOS和Azure托管的CentOS和Ubuntu的版本。

NeuVector

NeuVector旨在保護整個Kubernetes集群。它適用于現(xiàn)有的Kubernetes管理解決方案，如Red Hat OpenShift和Docker Enterprise Edition，旨在保護部署的所有階段的應用程序，從開發(fā)(通過Jenkins插件)到生產(chǎn)。

與此處的許多其他解決方案一樣，NeuVector作為容器部署到現(xiàn)有的Kubernetes集群中，而不是通過修改現(xiàn)有代碼。將NeuVector添加到群集時，它會發(fā)現(xiàn)所有托管容器并生成詳細說明連接和行為的映射。檢測并考慮由應用程序升級或降低引起的任何更改，以便對威脅(包括容器突破或新漏洞)的實時掃描仍然有效。

Sysdig Secure

Sysdig Secure提供了一組工具，用于監(jiān)視容器運行時環(huán)境并從中獲取取證。Sysdig Secure旨在與Sysdig的其他儀器工具(如Sysdig Monitor)一起運行。

可以針對每個應用程序，每個容器，每個主機或每個網(wǎng)絡活動設置和實施環(huán)境策略。 Sysdig Secure跟蹤的任何事件都可以通過主持人或容器或通過協(xié)調器(通常是Kubernetes)的鏡頭來查看?？梢杂涗浐蜋z查每個容器的命令歷史記錄，并且可以以類似于Twistlock的“事件探索器”功能的方式記錄和回放整個群集中的常規(guī)取證。

Tenable.io Container Security

Tenable.io Container Security專注于為DevOps團隊提供在構建過程中對容器安全性的可見性，而不是在生產(chǎn)過程中。

在構建時掃描容器鏡像以查找惡意軟件，漏洞和策略合規(guī)性。如果鏡像或鏡像中的任何元素拋出紅色標記，開發(fā)人員會收到問題的性質及其確切位置的通知，例如，多層鏡像的特定層，因此可以修復快速下一次推動。

Tenable.io Container Security適用于大多數(shù)常見的CI/CD構建系統(tǒng)和容器鏡像注冊表，并提供所有正在運行的容器鏡像，策略實施狀態(tài)和存儲庫行為的當前狀態(tài)的儀表板視圖。

Twistlock

Twistlock為Docker Enterprise等“核心”容器產(chǎn)品未涵蓋的容器添加了許多安全控制。其中一些功能包括：

• 合規(guī)性控制，用于對容器實施HIPAA和PCI規(guī)則。
• 對Jenkins等構建工具的合規(guī)性警報。
• 針對云原生應用程序進行防火墻。
• 基于有效和無效容器行為分析的容器運行時攻擊保護。
• 支持Kubernetes的CIS基準測試，以便可以根據(jù)保護Kubernetes的一系列通用標準檢查Kubernetes管理的部署。

2018年8月發(fā)布的Twistlock 2.5增加了新的取證分析技術，可以減少運行時開銷(例如，將事件前和事件后容器狀態(tài)信息存儲在容器本身之外);用于映射命名空間，pod和容器的實時可視化工具的增強功能;無服務器計算系統(tǒng)的防御和防御。

原文鏈接：

https://www.infoworld.com/article/3234671/containers/7-container-security-tools-to-lock-down-docker-and-kubernetes.html?nsdr=true