隨著云和虛擬技術(shù)發(fā)展，docker容器的使用越來越流行和方便。有很多企業(yè)已經(jīng)把基礎(chǔ)架構(gòu)由傳統(tǒng)實體機(jī)轉(zhuǎn)移到了虛擬機(jī)化架構(gòu)，基于公有云、私有云以及容器云構(gòu)建在線服務(wù)。與容器相關(guān)的安全性對變得越來越重要。與傳統(tǒng)的安全性方法相比，虛擬化架構(gòu)架構(gòu)上的差異完全需要不同的安全性方法，必須要在服務(wù)構(gòu)建過程的早期階段了解并執(zhí)行特定的容器安全性掃描。為了應(yīng)對虛擬化容器云架構(gòu)下的安全需求，本文介紹蟲蟲給大家介紹一些在虛擬化云架構(gòu)和容器環(huán)境下一些開源安全工具。

[[321607]]

Sysdig Falco

Falco是由Sysdig創(chuàng)建，支持K8S的開源安全審計工具。Falco是Cloud Native Computing Foundation(CNCF)組成部分，它提供了對容器、網(wǎng)絡(luò)和主機(jī)活動的行為監(jiān)視。

Falco最開始是設(shè)計用于Linux的主機(jī)入侵檢測系統(tǒng)，但是其對于容器系統(tǒng)的container.id、container.image或其規(guī)則的命名空間也適用，所以可以用于對docker容器的行為探測，基于一個容器探測器，可以實現(xiàn)對容器行為的深入洞察，檢測惡意或未知行為，并通過日志記錄和通知向用戶發(fā)送警報。

Falco可以跟蹤和分析容器內(nèi)部發(fā)生的動作的行為，包括Linux系統(tǒng)調(diào)用。Falco跟蹤基于容器的事件，包括：

• 容器內(nèi)運(yùn)行的shellcode;
• 在特權(quán)模式下運(yùn)行的任何容器
• 從主機(jī)裝入任何敏感目錄路徑(例如/ proc);
• 意外讀取敏感文件的嘗試(例如/etc/shadow);
• 使用任何標(biāo)準(zhǔn)系統(tǒng)二進(jìn)制文件進(jìn)行出站網(wǎng)絡(luò)連接。

一旦檢測到任何惡意行為，例如使用特定的系統(tǒng)調(diào)用，特定的參數(shù)或調(diào)用過程的屬性，它便可以向管理員發(fā)送警報。

當(dāng)前版本：0.21.0

項目地址：https://falco.org/

源碼倉庫：https://github.com/falcosecurity/falco

OpenSCAP

OpenSCAP是一個命令行審核工具，可以掃描，加載，編輯，驗證和導(dǎo)出SCAP文檔。SCAP(安全內(nèi)容自動化協(xié)議)是用于企業(yè)級Linux基礎(chǔ)結(jié)構(gòu)的合規(guī)性檢查的解決方案，由NIST維護(hù)。它使用可擴(kuò)展配置清單描述格式(XCCDF)顯示清單內(nèi)容并概述Linux安全情況總結(jié)合規(guī)性情況。

OpenSCAP提供了一組用于合規(guī)性管理和掃描的工具，借助oscap-docker等工具支持對容器鏡像的掃描。OpenSCAP還可以幫助用戶掃描XCCDF之類的合規(guī)性。該軟件包還具有其他一些工具/組件：

• OpenSCAP Base 用于執(zhí)行配置和漏洞掃描;
• OpenSCAP Daemon在后臺運(yùn)行的服務(wù);
• SCAP Workbench 一種提供執(zhí)行常見oscap任務(wù)的簡便方法圖形界面;
• SCAPtimony 存儲用于用戶基礎(chǔ)結(jié)構(gòu)的SCAP結(jié)果的中間件。

當(dāng)前版本：1.3.2

項目地址：http://www.open-scap.org/

源碼倉庫：https://github.com/OpenSCAP/openscap

Clair

Clair是一個開源漏洞掃描程序和靜態(tài)分析工具，用于分析appc和docker容器中的漏洞。

Clair會定期從多個來源收集漏洞信息，并將其存儲在數(shù)據(jù)庫中。它提供了公開API供客戶端執(zhí)行和掃描調(diào)用，用戶可以使用Clair API列出其容器鏡像，創(chuàng)建鏡像中功能的列表并在數(shù)據(jù)庫中保存。當(dāng)發(fā)生漏洞元數(shù)據(jù)更新時，可以通過Webhook觸發(fā)送警報/通知將漏洞的先前狀態(tài)和新狀態(tài)以及受影響鏡像發(fā)送到配置的用戶。作為部署腳本的一部分，Clair支持多種第三方工具來從終端掃描鏡像。比如Klar，就是是很好的選擇之一

該工具的安裝詳細(xì)信息在GitHub上可用，可以以Docker容器的方式運(yùn)行。它還提供Docker Compose文件和Helm Chart，以簡化安裝過程，也可以從源代碼進(jìn)行編譯。

Clair項目的目標(biāo)是促進(jìn)以透明的方式了解基于容器的基礎(chǔ)架構(gòu)的安全性。所以，項目以法語單詞命名，法語單詞具有明亮，清晰和透明的英語含義

當(dāng)前版本：2.0.2

項目地址：https://coreos.com/clair/docs/latest/

源碼倉庫：https://github.com/quay/clair

Dagda

Dagda是一種開源的靜態(tài)分析工具，用于對Docker鏡像或容器中的已知漏洞，惡意軟件，病毒，特洛伊木馬和其他惡意威脅執(zhí)行靜態(tài)分析。Dagda可以監(jiān)控Docker守護(hù)程序并運(yùn)行Docker容器以發(fā)現(xiàn)違規(guī)或不常見的活動。該工具支持常見的Linux基本鏡像，例如Red Hat，CentOS，F(xiàn)edora，Debian，Ubuntu，OpenSUSE和Alpine等。

Dagda附帶一個Docker Compose文件，可以輕松運(yùn)行評估。Dagda雖然支持對容器的監(jiān)視，但是必須與Sysdig Falco集成。Dagda不支持對容器注冊表或存儲庫掃描，更適于手動按需掃描。

Dagda部署后，可以從CVS數(shù)據(jù)庫下載已知漏洞和其利用POC并保存到MongoDB中。然后，它會收集有Docker鏡像中的軟件的詳細(xì)信息，并和MongoDB中先前存儲的詳細(xì)信息進(jìn)行比對驗證每個產(chǎn)品及其版本是否沒有漏洞。

Dagda可以將ClamAV作為防病毒引擎，用于識別Docker容器/鏡像中包含的木馬，惡意軟件，病毒和其他惡意威脅。

Dagda主要目標(biāo)用戶是系統(tǒng)管理員，開發(fā)人員和安全專業(yè)人員。

當(dāng)前版本：0.7.0

源碼倉庫：https://github.com/eliasgranderubio/dagda

Anchore Engine

Anchore Engine是一個開放源碼的DevSecOps全棧安全工具，旨在分析和掃描容器鏡像中的漏洞。該工具可以作為Docker容器鏡像使用，可以作為獨立安裝或在業(yè)務(wù)流程平臺中運(yùn)行。Anchore Engine可讓用戶能夠識別、測試和解決創(chuàng)建應(yīng)用程序的Docker鏡像中的漏洞。其企業(yè)版OSS提供了策略管理，摘要儀表板，用戶管理，安全和策略評估報告，圖形客戶端控件以及其他后端模塊和功能。

Anchore Engine提供Docker compose文件，可以一鍵構(gòu)建docker容器安裝。它支持后端/服務(wù)器端組件，可以通過CLI工具(例如Anchore CLI或Jenkins插件)的形式進(jìn)行掃描。它還可以對倉庫中的添標(biāo)簽，添加后，它將定期輪詢?nèi)萜髯员?，其進(jìn)行分析。用戶還可以使用添加新查詢，策略和圖像分析的插件來擴(kuò)展Anchore Engine?？梢酝ㄟ^RESTful API或Anchore CLI直接訪問。

當(dāng)前版本：0.7.0

項目地址：https://anchore.com/

源碼倉庫：https://github.com/anchore/anchore-engine

總結(jié)

開源安全工具在保護(hù)基于容器的基礎(chǔ)結(jié)構(gòu)中起著重要作用。我們可以根據(jù)業(yè)務(wù)需求和優(yōu)先級選擇適宜的工具(組合)進(jìn)行云架構(gòu)下安全保障：比如使用OpenSCAP和Clair進(jìn)行合規(guī)性分析，使用Falco進(jìn)行安全審計，使用Dagda可以用于對已知漏洞進(jìn)行靜態(tài)分析，用Anchore之進(jìn)行組合安全保障。