值得推荐的Docker安全开源工具
极客时间编辑部
讲述:丁婵大小:4.77M时长:03:29
容器的安全性一直是一件棘手的事情,好在目前有很多开源的容器安全工具可供使用。此前,技术作者、技术顾问比尔·多尔菲尔德(Bill Doerrfeld)列出了一些他认为优秀且成熟、拥有广大用户群体的工具,以供开发者参考。
1. Clair
这是一个 API 驱动的、基于庞大 CVE 数据库的静态容器安全分析工具。它从许多漏洞数据源获取信息,比如 Debian 安全漏洞跟踪库、Ubuntu CVE 跟踪库以及 Red Hat 安全数据库。由于 Clair 涵盖了大量的 CVE 数据库,所以它的审计是非常全面的。
Clair 的一大特点是灵活性,它允许你为一些行为添加自己的驱动。此外,Clair 通过单独的 API 调用来审计特定的容器镜像,可以作为机器驱动的替代方法,代替对大量日志报告进行搜索的方法。
2. Cilium
这是一个内核层的 API 感知网络和安全工具,它专注于解决安全网络连接,与 Docker、Kubernetes 等 Linux 容器平台有良好的兼容性,它增强了安全可视化以及控制逻辑。
Cilium 基于 Linux 内核技术 BPF(以前被称为 Berkeley packet filter),其诞生目的是为了响应现代微服务开发和快速容器部署的易变生命周期。
Cilium 的周边支持和开发社区非常棒,你能找到大量的指南和文档。
3. Anchore
这是一个使用 CVE 数据库和用户定义策略检查容器安全性的工具。它还可以使用自定义策略来对 Docker 镜像进行评估。Anchore 能够输出漏洞细节、威胁级别、CVE 标识符和其他相关信息的列表。由于用户定义的规则是通过 Anchore 云服务图形用户界面(GUI)创建的,所以它的操作类似于 SaaS。
Anchore 打包成 Docker 容器镜像后,既可以独立运行,也可以在 Kubernetes 这样的容器编排平台上运行,它也可以集成 Jenkins 和 GitLab 实现 CI/CD。
4. Grafaes
这是一个用于帮助管理内部安全策略的元数据 API。它可以帮助你创建自己的容器安全扫描项目。
Grafaes 能够快速获取容器元数据,这有助于加快补救安全问题,减少漏洞被暴露以及被利用的窗口期。虽然 Grafaes 是开源的,但它由大型软件供应商维护,对于工具的长期支持是有好处的。
5. Sysdig Falco
这是一个可以提供深度容器可见性的行为活动监视工具,它强调对容器、主机和网络活动的行为监视。使用 Falco,你可以对其基础设施进行持续检查、异常检测,并为任何类型的 Linux 系统调用设置警报通知。
你还可以通过 Falco 监视 shell 何时在容器中运行、容器在哪里挂载、对敏感文件的意外读取、出站网络尝试以及其他可疑调用。
以上就是今天的内容,希望对你有所帮助。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论