保举 | 七个用于Docker和Kubernetes防护的安详器材

这些超强器材为开拓和出产中的容器带来了监控，审计，运行时防止和基于计策的节制。

Docker容器可辅佐软件开拓职员更快地构建应用措施并更机动地陈设它们，，容器还可以辅佐开拓职员使软件更安详。

自动说明软件组件进入容器，跨容器集群和多个应用措施版本的举动计策，以及跟踪和打点裂痕数据的创新成长，这些只是容器在整个应用措施生命周期中进步安详性的一些方法。

尽量云云，个中有几多是开箱即用的?这是其它一回事，Docker和容器打点体系(如Kubernetes)提供了基本，将更高级的安详监控留给第三方器材。

以下是七个最近改造的容器安详产物和处事，它们在云和你本身的数据中心中为容器提供裂痕检测，合规性搜查，白名单，防火墙和运行时掩护等成果。

Aporeto

Aporeto专注于运行时掩护，相同于下面接头的NeuVector产物。该公司提供微处事安详产物以掩护Kubernetes事变负载和云收集防火墙体系，以掩护在漫衍式情形中运行的应用措施。

通过Kubernetes事变负载，Aporeto可以掩护当地和托管情形(譬喻，Google Kubernetes Engine)。为每个建设的资源分派一个处事标识，用于确保应用措施周围的信赖链不被粉碎。除其他外，处事标识用于逼迫声明的应用措施举动，无论应用措施的pod现实存在于那里。

Aqua容器安详平台

Aqua容器安详平台为Linux容器和Windows容器提供合规性和运行时安详性。

端到端容器安详打点器应承打点员将安详计策和风险设置文件应用于应用措施，并将这些设置文件与差异的应用措施构建管道相干联， 镜像扫描可以与构建和CI/CD器材集成。

Aqua容器安详平台还应承打点员行使应用措施上下文在运行时为应用措施支解收集。Aqua平台与Hashicorp Vault等奥秘打点器材共同行使，它支持Grafeas API，用于会见软件组件中的元数据。Aqua平台可以记录它在应用措施的Grafeas市肆中发明的任何裂痕信息，Aqua计策可以操作Grafeas界说数据来处理赏罚安详变乱和软件题目。

Aqua Container Security Platform可用于当地或云端陈设。免费试用版或开源版本不行用，但Aqua已经宣布了很多源自该平台的开源器材。

Atomic Secured Docker

Atomic Secured Docker是Ubuntu，CentOS和Red Hat Enterprise Linux的更换Linux内核，它操作一些强化计策来抵消隐藏的进攻。很多掩护法子，如用户内存的强化权限，都来自Atomicorp的安详内核产物系列。其他产物，如容器打破掩护，专为Docker计划。

可通过直接购置得到Atomic Secured Docker，AWS和Azure市场中提供了AWS托管的CentOS和Azure托管的CentOS和Ubuntu的版本。

NeuVector

NeuVector旨在掩护整个Kubernetes集群。它合用于现有的Kubernetes打点办理方案，如Red Hat OpenShift和Docker Enterprise Edition，旨在掩护陈设的全部阶段的应用措施，从开拓(通过Jenkins插件)到出产。

与此处的很多其他办理方案一样，NeuVector作为容器陈设到现有的Kubernetes集群中，而不是通过修改现有代码。将NeuVector添加到聚集时，它会发明全部托管容器并天生具体声名毗连和举动的映射。检测并思量由应用措施进级或低落引起的任何变动，以便对威胁(包罗容器打破或新裂痕)的及时扫描如故有用。

Sysdig Secure

Sysdig Secure提供了一组器材，用于监督容器运行时情形并从中获取取证。Sysdig Secure旨在与Sysdig的其他仪器器材(如Sysdig Monitor)一路运行。

可以针对每个应用措施，每个容器，每个主机或每个收集勾当配置和实验情形计策。 Sysdig Secure跟踪的任何变乱都可以通过主持人或容器或通过和谐器(凡是是Kubernetes)的镜头来查察。可以记录和搜查每个容器的呼吁汗青记录，而且可以以相同于Twistlock的“变乱试探器”成果的方法记录和回放整个群齐集的通例取证。

Tenable.io Container Security

Tenable.io Container Security专注于为DevOps团队提供在构建进程中对容器安详性的可见性，而不是在出产进程中。

在构建时扫描容器镜像以查找恶意软件，裂痕和计策合规性。假如镜像或镜像中的任何元素抛出赤色标志，开拓职员会收到题目的性子及其确切位置的关照，譬喻，多层镜像的特定层，因此可以修复快速下一次敦促。

Tenable.io Container Security合用于大大都常见的CI/CD构建体系和容器镜像注册表，并提供全部正在运行的容器镜像，计策实验状态和存储库举动的当前状态的仪表板视图。

Twistlock

Twistlock为Docker Enterprise等“焦点”容器产物未涵盖的容器添加了很多安详节制。个中一些成果包罗：

• 合规性节制，用于对容器实验HIPAA和PCI法则。
• 对Jenkins等构建器材的合规性警报。
• 针对云原生应用措施举办防火墙。
• 基于有用和无效容器举动说明的容器运行时进攻掩护。
• 支持Kubernetes的CIS基准测试，以便可以按照掩护Kubernetes的一系列通用尺度搜查Kubernetes打点的陈设。

2018年8月宣布的Twistlock 2.5增进了新的取证说明技能，可以镌汰运行时开销(譬喻，将变乱前和变乱后容器状态信息存储在容器自己之外);用于映射定名空间，pod和容器的及时可视化器材的加强成果;无处事器计较体系的防止和防止。

原文链接：

https://www.infoworld.com/article/3234671/containers/7-container-security-tools-to-lock-down-docker-and-kubernetes.html?nsdr=true

【编辑保举】

1. 走向多云 要害还要看打点器材的
2. 掩护Docker和Kubernetes的7个容器安详器材
3. 研究发明民众云打点器材缺乏
4. 评估几大IaaS提供商的原生云监控器材
5. 出产情形 VS 开拓情形，关于Kubernetes的四大熟悉误区

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!