WatchStor.com — 领先的中文存储网络媒体 | 51CTO旗下网站

技术文档 > 公有云 > 正文
保护Docker和Kubernetes的7个容器安全工具
作者: 布加迪编译 2018-11-27 10:06 【51CTO】

Docker容器可帮助软件开发人员更快地构建应用程序,并更灵活地部署。容器还可以帮助开发人员使软件更安全。

自动分析进入容器的软件组件、跨容器集群和多个应用程序版本的行为策略,以及跟踪和管理漏洞数据的创新技术,这些只是容器为整个应用程序生命周期提高安全性的几个途径。

不过,这些当中多少是开箱即用的是另一回事。Docker和容器管理系统(比如Kubernetes)提供了基本功能,但并不总是提供更强的功能,从而将更高级的安全监控和执行留给了第三方工具。

保护Docker和Kubernetes的7个容器安全工具

以下是七款最近改进的容器安全产品和服务,它们为云端和本地数据中心中的容器提供了漏洞检测、合规检查、白名单、防火墙和运行时保护等功能。

1.Aporeto

Aporeto专注于运行时保护,类似于下面讨论的NeuVector产品。该公司提供了保护Kubernetes工作负载的微服务安全产品和保护分布式环境中运行的应用程序的云网络防火墙系统。

若是Kubernetes工作负载,Aporeto可以保护本地环境和托管环境(比如Google Kubernetes Engine)。每个创建的资源被分配了一个服务标识,用于确保应用程序周围的信任链未破坏。除此之外,服务标识还用于执行声明的应用程序行为,无论应用程序的pod实际上在哪里。

注册帐户后,可根据要求索取Aporeto的定价。可免费试用评估30天。

2.Aqua容器安全平台

Aqua容器安全平台为Linux容器和Windows容器提供了合规和运行时安全性。

这款端到端容器安全管理器让管理员可以将安全策略和风险配置文件应用于应用程序,并将这些配置文件与不同的应用程序构建管道关联起来。映像扫描可与构建和CI/CD工具集成起来。

Aqua容器安全平台还让管理员可以利用应用程序上下文,在运行时为应用程序分割网络。Aqua平台与Hashicorp Vault等秘密管理工具配合使用,它支持Grafeas API,用于访问来自软件组件的元数据。Aqua平台可以记录它在应用程序的Grafeas商店中找到的任何漏洞信息,Aqua策略可以利用Grafeas定义数据来处理安全事件和软件问题。

Aqua容器安全平台可用于本地或云端部署。没有免费试用版或开源版,但Aqua发布了许多源自该平台的开源工具。

3.Atomic Secured Docker

Atomic Secured Docker是适用于Ubuntu、CentOS和Red Hat Enterprise Linux的替代Linux内核,它利用许多加固策略来抵消潜在的攻击。许多保护措施(比如针对用户空间内存的加固权限)来自Atomicorp的安全内核产品系列。容器突破防护等其他产品专为Docker设计。

可通过直接购买获得Atomic Secured Docker。AWS和Azure市场上还有针对AWS托管的CentOS以及Azure托管的CentOS和Ubuntu的版本。

4.NeuVector

NeuVector旨在保护整个Kubernetes集群。它与现有的Kubernetes管理解决方案兼容,比如Red Hat OpenShift和Docker企业版,旨在保护部署所有阶段的应用程序,从开发阶段(通过Jenkins插件)到生产阶段,全程保护。

与本文介绍的许多其他解决方案一样,NeuVector作为容器部署到现有的Kubernetes集群中,而不是通过修改现有代码来部署。NeuVector添加到集群后,它会发现所有托管的容器,并生成详细表明连接和行为的映射图。可以检测并考虑到应用程序增加或减少引起的任何变化,以便查找威胁(包括容器突破或新漏洞