走近Docker安全扫描器
本文是关于一款Docker安全扫描器的一般性使用介绍,其原名为Project Nautilus。它可以作为Docker云私有仓库或者Docker Hub官方仓库的扩展服务,安全扫描会为你的Docker镜像提供主动的风险管理和软件合规管理的详细安全配置信息。
Docker安全扫描在你部署之前可以对你的镜像进行二进制层面的扫描,并提供一个详细的材料清单(BOM)列出所有的层级和组件,不断监控新的漏洞,在新的漏洞出现时推送通知。
当你考虑现代软件供应链时,一个公司会在不同的时段协调一些不同的开发者和IT团队,来建立栈和基础设施,移动和运行软件。App开发团队最关心的就是尽可能快的写好软件并交付给客户。然而,软件供应链并不是以开发者结束,它还需要反复的迭代,在团队之间分享代码,在各个环境之间移动代码。Docker让app无缝移植并且通过安全平台传输,控制安全访问和安全内容。Docker安全扫描提供了深入Docker镜像内部的安全内容,包含内部组件的安全配置。这些信息在app生命周期的每个步骤都是可用的。
让我们深入Docker安全扫描的更多细节,看看它是怎么工作的吧。
Docker安全扫描与Docker云协同使用(还有Docker数据中心),在新的镜像上传到仓库时触发一系列事件。这个服务包含一个扫描触发器,扫描器,数据库,框架插件和连接到CVE数据库的验证服务。
深入查看安全配置
Docker安全扫描服务在用户上传镜像到Dokcer云端仓库时启动。扫描服务将镜像的各个层次和组件进行分离。然后组件发送给校验服务来与CVE数据库一起进行检查,不仅仅包括包名,版本,还包括二进制层面的内容扫描。
最后一步非常重要因为这个方法确保包的正确性。
一个Docker镜像是由许多层组成的,每个层都有许多组件和包,每个包都有相应的名字和版本信息。当漏洞报告给CVE数据库时,他们会跟一个包名和版本信息绑定。
许多服务都只是简单的校验一下包的名字,通过查询数据库中已有问题的方式。这样做是不够的,这不足以回答“容器中运行了什么?”。除了校验包名之外,我们对每个层级的二进制进行分析,然后匹配每个二进制的签名来确定组件和版本信息,然后查看数据库中已知漏洞的引用。这让我们能够找到标准BOM以外的其他组件(比如dpkg –l 或 yum list installed),包括任何静态链接来准确标识组件,这些组件已经发布补丁并且之前报告过漏洞。这个方法降低了误报率,因为相关的包可能已经修复了漏洞但是没有更新版本信息,同时也能防止某些人故意将一个恶意的包进行重命名。
为了提供保护,Docker安全扫描支持大部分的操作系统,包括主流的Linux发行版和windows服务器语言和二进制。
一旦所有东西扫描完成并返回结果,就会生成BOM的细节然后存储到Docker安全扫描数据库,并打上镜像的标签。对于每个扫描报告,结果发送到Docker云然后发表到UI。
持续监控并推送通知
镜像扫描能够实时提供信息。Docker安全扫描持续性的监视和通知推送来保证你的镜像安全。Dokcer安全扫描数据库存储镜像BOM的细节和每个组件的漏洞状态。当一个新的漏洞报告给CVE数据库,Docker安全扫描将会在数据库中查看那个镜像相关的包会受到影响然后推送通知邮件给管理员。
这些推送信息包含漏洞的信息,以及仓库中受影响的目标列表。通过这些信息,IT团队知道哪些软件受影响,从而可以主动进行管理,审视漏洞的严重性并快速做出决策。
整个内容生命周期的安全
Docker安全扫描是一个很棒的Docker工作流来帮助公司构建,迁移和运行安全软件。当与安全内容结合在一起,你可以确保软件的正确性,保证软件没有被篡改。例如,官方仓库从 DockerCon EU in Nov 2015 开始就使用安全扫描来获取漏洞信息,修复问题,用内容信任签名更新镜像。这一特性让Docker能够让上游可以给你提供更安全的镜像。
开始使用
Docker云的用户的私有仓库可以免费使用Docker安全扫描(次数是有限的)。如果你登录了你可以直接查看Docker官方镜像的扫描结果,不管你是不是订阅用户。安全扫描也会扩展Docker数据中心和Docker云给用户。
在Docker云使用:
为了使用这一特性,进入Account Settings >Plans然后勾选。一旦激活,每个私有仓库最常使用的3个目标都会被扫描,BOM结果将会在24小时内显示。然后,docker安全扫描会在你每次上传之后扫描你的镜像。
下面的截图展示了用户的5个私有仓库扫描结果。 Dokcer安全选项在平台的底部。
如果你有一个Docker Hub账户确没有使用过Docker云——别担心!你同样可以登录Dokcer云来工作。原生整合保证你的Docker Hub仓库展示Docker云仓库部分。私有仓库按7美元每个月,可以使用5个私有仓库,并且可以使用Docker云。
本文转自d1net(转载)
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Big Switch监控和数据中心交换架构 加速SDN网络转型
SANTA CLARA,CA(2016年6月22日)- Big Switch Networks ,给全球带来超大设计灵感的网络数据中心领导者,今天宣布其基于SDN的 Big Monitoring Fabric 和Big Cloud Fabric 解决方案有了重大更新,新版本提供了重要客户安全监控使用案例、网络功能虚拟化(NFV)、IP存储、最新的开放式以太网交换机的广泛支持。此外,还增强了可视化,故障排除和自动化的网络运营,Big Switch不断加速数据中心网络转型的创新步伐。 要了解更多关于Big Monitoring Fabric 5.7和 Big Cloud Fabric 3.6,可注册参加在线研讨会, 6月29日上午10时(PST):http://go.bigswitch.com/16q2webinarlaunch_reg.html Big Monitoring Fabric新功能亮点包括Big Switch DPDK服务节点的先进功能,增强了out-of-band网络监控服务,实现了全网监控,保证网络的安全性。Big Cloud Fabric更新包括将Red Hat的Ope...
- 下一篇
购买DRaaS之前 企业应如何权衡成本与需求?
云已经成功吸引了许多备份、归档和灾难恢复服务和产品,这些领域曾经只是磁带和磁盘的天下。虽然企业和很多小公司仍需要本地备份,但许多企业已经开始在云存储服务中为重要数据多保留一份离线副本,这直接导致了灾备供应商的爆炸式增长。和传统基于硬件设备的存储方法相比,其中许多供应商更专注提供基于云的服务。此外,DIY安装场景让您可以使用DR(灾备,灾难恢复)软件访问直接租来的公共云存储空间。 在对比各种基于云的灾难恢复(通常称为灾难恢复即服务DRaaS)的成本之前,管理员往往很难清楚区分各种需求的优先级。他们会发现,一些供应商(如Axcient、IBM、iland和Microsoft)各自提供了一系列宽泛的功能,而随着时间推移和需求发展,某些功能会凸显其重要性。当然,最合适的特色功能并不一定会最贵。由于这些DRaaS提供商覆盖了所有的主流市场,他们往往拥有更多的客户,并为其云端存储服务提供更优的报价。 一个安全港 云可以为所有级别的IT运营提供一个安全的避风港。它提供地理上远离的数据副本,并且可以快速访问执行文件的上传和恢复。除了Amazon Glacier之外,大多数云备份和归档存储服务都是基于磁...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- Hadoop3单机部署,实现最简伪集群
- CentOS8编译安装MySQL8.0.19
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Red5直播服务器,属于Java语言的直播服务器
微信收款码
支付宝收款码