細數你不得不知的容器安全工具

網絡安全問題的重要性大概毋庸置疑，最近無數關於惡意軟件和安全漏洞的消息已充分證實了這一點。

假如你要管理一個Docker環境，並但願幫助本身的公司或用戶在下一個大漏洞來臨時避免遇到麻煩，那麼你就須要瞭解一些保障Docker應用安全的工具，並真正地去使用它們。本文將介紹可供使用的Docker安全工具（包括了來自Docker原生的安全工具以及第三方安全工具）。

Docker Benchmark for Security

你首先須要瞭解的Docker安全工具之一就是Docker Benchmark for Security。Docker Benchmark for Security是一個簡單的腳本，它能夠測試並確保你的Docker部署遵照已有的的安全最佳實踐（security best practices）。

Docker Benchmark for Security可以如此實用的緣由之一是，它所參照的最佳實踐基於的是各領域、各職位的行業專家所達成的共識。諮詢人員、軟件開發人員以及安全和執行方面的專家針對最佳實踐的創建都貢獻過寶貴觀點及經驗。你能夠在Center for Internet Security（互聯網安全中心）找到關於最佳實踐和其背後緣由的完整描述。

CoreOS Clair

CoreOS Clair是專門爲Docker容器設計的漏洞掃描引擎。這個基於API的掃描引擎能夠查看每一個容器層，搜索並報告已知的漏洞。

CoreOS Clair有兩個主要的使用場景。首先，針對那些並不是由你親自建立的鏡像，Clair能夠作充分的檢查。例如，若是你從互聯網下載鏡像，鏡像的安全性就很難保證。CoreOS Clair能夠幫助你作出判斷。它的第二個使用場景是，當你正在使用的不安全軟件時，CoreOS Clair能夠阻止和／或提醒你。

Docker Security Scanning

Docker Security Scanning是另外一個可爲Docker進行安全漏洞掃描的工具。並且，它不只僅是一個單純的掃描引擎，如下幾點一樣值得注意：

首先，Docker Security不侷限於掃描Docker容器，該工具還會檢查Docker安裝安全問題。此外，它可以掃描本地和遠程兩部分的安裝。

另外一個值得一看的一點是，Docker Security基於插件使用。這些插件使得Docker Security有很強的擴展性，所以隨着該工具的不斷完善，更多的功能將會添加進去。插件能夠簡易編寫，所以使用它的團隊能夠爲實現本身的需求建立插件。

Drydock

Drydock的設計功能相似於Docker Benchmark for Security，不過在使用上更加靈活。和Docker Benchmark類似，Drydock是Docker的安全審覈工具。而Drydock的獨特之處在於，Drydock容許它的用戶建立自定義的審覈配置文件。這些配置文件可消除生成報告（噪聲警報）中那些引發大量雜亂的審覈，從而調整審覈過程。此外它還可用於停用和環境無關、會產生虛假警報的審覈測試。

和其餘容器安全工具不一樣，使用Drydock建立自定義配置文件很是容易。該工具備一個內置的配置文件，包含了全部將要執行的審覈測試，經過添加註釋你就能夠控制須要執行的檢查。

你能夠在Github上下載到Drydock

Twistlock

Twistlock是Docker的另外一個安全審覈工具。和其餘解決方案不一樣的是它是一種商業應用，提供了一個免費的開發版和一個有許可的企業版。

Twistlock掃描容器棧中的每個單獨層，並可以使用內容指紋技術識別各類組件以及可能與這些組件相關聯的漏洞。

Twistlock企業版使用了機器學習來幫助識別漏洞，此外還提供了自動化策略建立和執行功能。免費的開發者版本和企業版有不少類似之處，但開發者版須要手動建立策略，依賴於社區的支持，而它也限制了只有10個倉庫和兩臺主機。

總結

Docker在逐漸發展成熟，也被愈來愈多的企業投入使用，所以，確保Docker環境的安全也變得愈來愈重要。所幸的是，現有的一系列工具——包括免費版和商業版，均可以幫助你更好地維護Docker應用（如Deepfence、NeuVector和Anchore）的安全。

歡迎關注Rancher官方微信公衆號（RancherLabs），獲取第一手技術乾貨推送；歡迎添加客服微信（RancherLabsChina）爲好友，加入Rancher官方技術交流羣，獲取免費技術支持，與數千Docker/Rancher使用者互動。

9月27日，北京海航萬豪酒店，容器技術大會Container Day 2017即將舉行。

CloudStack之父、海航科技技術總監、華爲PaaS部門部長、恆豐銀行科技部總經理、阿里雲PaaS工程總監、民生保險CIO······均已加入豪華講師套餐！

11家已容器落地企業，15位真·雲計算大咖，13場純·技術演講，結合實戰場景，聚焦落地經驗。免費參會+超高規格，詳細議程及註冊連接請戳