爲容器安全苦惱？這份清單列舉了27種容器安全工具

在Docker容器技術興起的初期，對於許多企業而言，容器安全問題一直是他們在生產環境中採用Docker的一大障礙。然而，在過去的一年中，許多開源項目、初創公司、雲供應商甚至是Docker公司本身，已經開始打造用於強化Docker環境的新解決方案，關於容器安全的擔心及挑戰正在被逐漸解決。現在，許多容器安全工具能夠知足容器整個生命週期的各方面需求。

Docker 的安全工具能夠分爲如下幾類：

● 內核安全工具：這些工具源於Linux開源社區，它們已經被docker等容器系統吸納成爲內核級別的基礎安全工具。

● 鏡像掃描工具：Docker Hub是最受歡迎的容器鏡像倉庫，但除Docker Hub以外也有不少其餘鏡像倉庫可供選擇的。大多數鏡像倉庫如今都有針對已知漏洞掃描容器鏡像的解決方案。

● 編排安全工具：Kubernetes和Docker Swarm 是兩個被廣泛使用的編排工具。而且它們的安全功能在過去一年已經獲得增強。

● 網絡安全工具：在容器驅動的分佈式系統中，網絡比以往更爲重要。基於策略的網絡安全在基於外圍的防火牆上的重要性愈來愈突出。

● 安全基準測試工具：互聯網安全中心(CIS)爲容器安全提供了指導方針，這一方針已被Docker Bench和相似的安全基準工具所採用。

● ** CaaS平臺的安全性**：AWS ECS、GKE和其餘CaaS平臺一般是基於其母公司的laaS平臺來構建其安全功能。而後添加容器專用功能或者借用Docker、Kubernetes的安全功能。

● ** 容器專用安全工具**：對於容器安全來講，這是一個最優選擇。其中，機器學習是中心階段，由於這類工具可以爲容器安全構建智能的解決方案。

如下是根據Docker堆棧工具安所有分，列出的可用的Docker安全工具有忘清單。

內核安全工具

■ 命名空間（Namespaces） 該工具隔離了相鄰的進程，而且限制了容器所能看到的內容，所以能夠防止攻擊的蔓延。

■ cgroups
該工具限制了容器使用的資源，限制容器可使用的內容，從而防止受感染的容器佔用全部的資源。

■ SeLinux
該工具爲內核提供訪問控制。它強制執行「強制訪問控制（MAC）」，依據策略控制了容器訪問內核的方式。

■ AppArmor 該工具能夠啓用進程訪問控制，可設置強制執行策略，亦可設置爲僅在違反策略時發出報告。

■ Seccomp 該工具容許進程以「安全」狀態與內核進行交互，「安全」狀態下僅可執行數量有限的一些命令。若是超出命令，那麼進程將被終止。

鏡像掃描工具

■ Docker Hub安全掃描 該工具根據常見漏洞和暴露列表（CVEs）掃描從Docker Hub下載的鏡像。

■ Docker Content Trust 該工具能夠根據做者驗證從第三方文件庫下載的鏡像，做者但是我的或組織。

■ Quay Security Scanner 該工具由CoreOS Clair提供支持。這是Quay Docker安全掃描版本，它能夠掃描容器鏡像漏洞。

■ AWS ECR 做爲AWS ECS的一部分，ECR在S3中靜態加密圖像，並經過HTTPS傳輸。它使用AWS IAM控制對鏡像倉庫的訪問。

編排安全工具

■ Docker Swarm機密管理 該工具提供一種使用Docker Swarm的安全方式來存儲密碼、token以及其餘機密數據。

■ Kubernetes Security Context
保證在Kubernetes集羣中容器和pod的安全，並提供訪問控制及 SELinux 和 AppArmor等Linux內核安全模塊。

網絡安全工具

■ Project Calico 經過提供基於策略的安全保障來保護容器網絡，並確保服務只能訪問其所須要的服務和資源。

■ Weave 該工具爲容器網絡強制實施基於策略的安全保障，而且爲每一個容器而非整個環境提供防火牆。

■ Canal
集成了Project Calico的安全功能和Flannel的鏈接功能，爲容器提供了全面的網絡解決方案。

安全基準測試工具

■ Docker Bench 這是一個根據互聯網安全中心（CIS）建立的基準清單，來檢查生產環境中的容器的安全情況的腳本。

■ Inspec 這是一個由Chef構建的測試框架，它將合規性和安全性視爲代碼。此外，它能夠掃描鏡像並擁有本身的一個Docker Bench版本。

CaaS平臺的安全性

■ AWS ECS 在AWS ECS中，容器是運行在虛擬機內的，這就爲容器提供了第一層安全保護。同時ECS也添加了AWS的安全功能，如IAM、安全組以及網絡ACLs等。

■ Azure容器服務
Azure容器服務有本身的容器鏡像倉庫來掃描鏡像，同時還可充分利用Azure的默認安全功能，如IAM。

■ GKE GKE採納了Kubernetes的安全功能而且添加了一些本身谷歌雲的安全功能，如IAM和RBAC。

容器專用安全工具

■ Twistlock
這是一個端到端的容器安全平臺。它利用機器學習來自動分析應用程序。

■ Aqua Security 一個端到端的容器平臺，提供了易於擴展的成熟API。

■ Anchore 該工具能夠掃描容器鏡像併爲容器平臺強制運行安全策略。同時它用Jenkins整合了CI/CD的工做流程。

■ NeuVector 該工具經過執行服務策略來保護容器運行安全。而且可以基於自動化白名單自動開始或中止容器運行。

■ Deepfence 該工具是CI / CD集成安全工具，可防止已知的攻擊。

■ StackRox 該容器安全工具能夠利用機器學習提供「自適應威脅保護」

■ Tenable 這是一個能夠掃描容器鏡像的託管安全解決方案，它甚至能夠容許企業在它們的環境內執行安全策略。

■ Cavirin 這是一個持續的安全評估工具，能夠根據CIS基準測試漏洞。

感覺Docker安全工具的魅力

本文是一個十分全面的Docker安全工具清單。經過這份清單，咱們能夠清楚地知道，保證Docker的安全須要多種工具的共同合做。由於每一個工具都有其優點以及所專一的領域。有針對容器堆棧的內核、鏡像倉庫、網絡、編排工具以及CaaS平臺的每一層提供解決方案。最棒的是，大部分工具或者至少是大部分容器工做負載中的經常使用工具都很是適合彼此集成。

充分了解每一個安全工具的功能及其特性以後，您能夠爲企業級生產工做負載打造固若金湯的安全的容器環境。這一直是Docker的承諾，而容器安全工具把這一承諾變成了現實。