给Docker容器保驾护航的几款工具
发布时间:2022-05-30 09:54:33 所属栏目:安全 来源:互联网
导读:近些年来,Docker容器受到许多漏洞的攻击。攻击实在太多了,许多公司推出针对安全的应用程序以帮助增强该平台。当然,不仅仅为容器增添安全,或帮助构建和运行容器的引擎。从服务到最佳实践,安全从头开始做起。 开发映像 容器方面最大的安全问题之一是构建
|
近些年来,Docker容器受到许多漏洞的攻击。攻击实在太多了,许多公司推出针对安全的应用程序以帮助增强该平台。当然,不仅仅为容器增添安全,或帮助构建和运行容器的引擎。从服务到最佳实践,安全从头开始做起。 开发映像 容器方面最大的安全问题之一是构建那些容器的映像。如果你基于受损的映像开发容器,会造成严重破坏。为此,Alcide的首席技术官兼联合创始人Gadi Naor说:“容器方面的最佳实践是创建一个含有构建工具的开发容器映像,针对特定语言的工具链团队需要对其工程进行迭代。通常,你从基础操作系统映像开始入手,然后将相关软件包添加到所使用的运行时语言中。” 换句话说,内部构建自己的映像。这应该被认为是部署容器的安全支柱。 Harbor Harbor是一种开源容器注册中心,若与Red Hat的Clair漏洞扫描工具结合使用,还可以扫描映像查找已知漏洞。安装后,Harbor充当存储库,然后可以扫描任何上传的映像以查找问题。对于所有容器开发人员和管理员来说,这样的扫描平台都应该被视为必不可少的工具。了解映像文件存在的问题对于确保你在部署安全的容器大有帮助。 基于角色的访问控制 除了使用安全映像外,RBAC(基于角色的访问控制)应该是每个容器工程师都完全了解的工具。RBAC确定是否允许用户通过本地角色和绑定对特定项目执行操作。如果你允许开发人员访问集群,这意味着他们也可以访问Kubernetes API。为什么这如此重要?据Red Hat的容器首席产品经理Scott McCarty声称:“如果开发人员访问这些API,无论在间接的开发环境中还是在直接的生产环境中(用于故障排除),基于角色的访问对于限制恶意或无意造成的破坏都至关重要。” Hadolint Hadolint是Haskell Dockerfile代码检查工具(linter)。正如你可以代码检查编程语言那样,也可以代码检查静态文件。但为什么代码检查Dockerfile呢?很简单:检查优化、编程错误、缺陷、类型错误、可疑构件以及可能的故障。代码检查Dockerfile不仅带来更整洁的代码,还杜绝错误,带来更小的Docker映像。更棒的是,Hadolint可以集成到你的CI管道中,因此检查你的代码可自动执行。针对使用代码检查工具,Naor说:“它将促使此类用户完善其容器创建技能,同时直接洞察安全最佳实践。” Snyk Snyk有助于确定构建期间潜在的运行时应用程序风险。具体来说,如果整合到CI管道中,Snyk可以不断发现并修复容器中的漏洞。Snyk的工作原理是,检查相关的OS软件包管理器清单信息来扫描OS软件包(每个映像),然后基于此信息,Snyk分析映像查找关键应用程序二进制文件,并将结果与已知的漏洞数据库进行比较。不像Harbor/Clair仅扫描映像查找漏洞,Snyk还可以扫描你的Dockerfile(如果包含在命令行中),对你的基本映像进行更详细的分析。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号