应用于Docker的安全工具介绍

网络安全的重要性是毋庸置疑的，无数有关恶意软件和安全漏洞之类的新闻也不断证实此论断。如果你正在管理Docker环境，并且希望避免可能存在的重大漏洞，那么你需要知道一些必要的工具来保护你的Docker环境。本文介绍的应用于Docker的安全工具，其中既包含既来自Docker本身工具，也包括第三方安全工具。

电子书Continuous Integration and Deployment with Docker and Rancher ［1］可以引导你将容器整合到CI/CD pipeline。盘点的第一个Docker安全工具就是Docker Benchmark for Security ［2］，它是一个简单的脚本程序，可以核查的Docker部署配置，以确保Docker的配置遵循最佳的安全实践。Docker Benchmark for Security有用的最重要原因之一是，它的开发是基于各行业、各职位专家所达成的共识。咨询人员、软件开发人员以及安全和执行方面的专家针对最佳实践的建立都贡献过宝贵观点及经验。读者可以在Center for Internet Security ［3］中查找更详细的描述。

CoreOS ClairCoreOS Clair ［4］是一个专为Docker容器而设计的漏洞扫描引擎，这个基于API的扫描引擎查看每个容器层，然后搜索并报告扫描到的漏洞。CoreOS Clair有两个主要的用例，其一，CoreOS Clair 对于检查非自己创建的镜像很有用。例如，对于从网络上下载的镜像，很难确定该图像是否安全可用，CoreOS Clair 可以用来检测此类镜像的安全。其二，CoreOS Clair 可以用来阻止和/或警告用户正在使用的软件是否安全。

Docker Security Scanning

Docker Security Scanning ［5］是Docker的另一个安全漏洞扫描工具。它不仅仅是一个单纯的扫描引擎，与此工具有关的一些事情值得关注。首先，Docker安全性不限于Docker容器的扫描，Docker Security Scanning还可以检查Docker安装安全方面所存在的问题。其次，Docker Security Scanning还可以扫描本地和远程两个方面的Docker安装。最后，Docker Security Scanning基于插件的应用程序，这些插件使Docker Security Scanning 易于扩展，因此随着该工具的不断完善，更多的功能将会添加进去。插件可以简易编写，因此使用它的团队可以为实现自己的需求创建插件。

DrydockDrydock ［6］是功能类似于Docker Benchmark for Security并且使用更加灵活的工具。与Docker Benchmark for Security一样，Drydock是Docker的安全审核工具。Drydock之所以如此独特，是因为它允许其用户创建自定义审核配置文件。这些配置文件可消除生成报告（噪声警报）中那些引起大量杂乱的审核，从而调整审核过程。此外它还可用于停用和环境无关、会产生虚假警报的审核测试。与其他一些可用工具不同，Drydock使创建自定义配置文件变得异常容易。该工具包括一个内置配置文件，该配置文件包含将要执行的所有审核测试，包含了所有将要执行的审核测试，通过添加注释你就可以控制需要执行的检查。

Twistlock

Twistlock ［7］是Docker的另一个安全审核工具。与其他解决方案不同的是，Twistlock是商业应用程序，提供了一个免费的开发版Developer Edition和一个有许可的企业版Enterprise Edition。Twistlock扫描容器栈中的每一个单独层，并能够使用内容指纹技术识别各种组件以及可能与这些组件相关联的漏洞。Twistlock企业版使用了机器学习来帮助识别漏洞，此外还提供了自动化策略创建和执行功能。免费的开发者版本和企业版有很多相似之处，但开发者版需要手动创建策略，依赖于社区的支持，而它也限制了只有10个仓库和两台主机。

结论

随着Docker的成熟并投入生产，因此，确保Docker环境的安全也变得越来越重要。幸运的是，可以使用包括免费和商业选项在内的一系列工具来帮助强化Docker的安全。

原文标题：容器安全工具盘点

文章出处：【微信公众号：FPGA之家】欢迎添加关注！文章转载请注明出处。

责任编辑：haq

云原生