細數你不得不知的容器安全工具

網絡安全問題的重要性大概毋庸置疑，最近無數關于惡意軟體和安全漏洞的消息已充分證明了這一點。

假如你要管理一個Docker環境，并希望幫助自己的公司或使用者在下一個大漏洞來臨時避免遇到麻煩，那麼你就需要了解一些保障Docker應用安全的工具，并真正地去使用它們。本文将介紹可供使用的Docker安全工具(包括了來自Docker原生的安全工具以及第三方安全工具)。

Docker Benchmark for Security

你首先需要了解的Docker安全工具之一就是 Docker Benchmark for Security 。Docker Benchmark for Security是一個簡單的腳本，它可以測試并確定你的Docker部署遵守已有的的安全最佳實踐(security best practices)。

<a href="http://s3.51cto.com/wyfs02/M02/9E/A6/wKioL1mUGayzveUKAAA2F67Kxd4036.jpg-wh_651x-s_1616096998.jpg" target="_blank"></a>

Docker Benchmark for Security能夠如此實用的原因之一是，它所參照的最佳實踐基于的是各領域、各職位的行業專家所達成的共識。咨詢人員、軟體開發人員以及安全和執行方面的專家針對最佳實踐的建立都貢獻過寶貴觀點及經驗。你可以在 Center for Internet Security (網際網路安全中心)找到關于最佳實踐和其背後原因的完整描述。

CoreOS Clair

CoreOS Clair 是專門為Docker容器設計的漏洞掃描引擎。這個基于API的掃描引擎可以檢視每個容器層，搜尋并報告已知的漏洞。

CoreOS Clair有兩個主要的使用場景。首先，針對那些并非由你親自建立的鏡像，Clair可以做充分的檢查。例如，如果你從網際網路下載下傳鏡像，鏡像的安全性就很難保證。CoreOS Clair可以幫助你做出判斷。它的第二個使用場景是，當你正在使用的不安全軟體時，CoreOS Clair可以阻止和/或提醒你。

Docker Security Scanning

Docker Security Scanning 是另一個可為Docker進行安全漏洞掃描的工具。而且，它不僅僅是一個單純的掃描引擎，以下幾點同樣值得注意：

首先，Docker Security不局限于掃描Docker容器，該工具還會檢查Docker安裝安全問題。此外，它能夠掃描本地和遠端兩部分的安裝。

另一個值得一看的一點是，Docker Security基于插件使用。這些插件使得Docker Security有很強的擴充性，是以随着該工具的不斷完善，更多的功能将會添加進去。插件可以簡易編寫，是以使用它的團隊可以為實作自己的需求建立插件。

Drydock

Drydock的設計功能類似于Docker Benchmark for Security，不過在使用上更加靈活。和Docker Benchmark相似，Drydock是Docker的安全稽核工具。而Drydock的獨特之處在于，Drydock允許它的使用者建立自定義的稽核配置檔案。這些配置檔案可消除生成報告(噪聲警報)中那些引起大量雜亂的稽核，進而調整稽核過程。此外它還可用于停用和環境無關、會産生虛假警報的稽核測試。

和其他容器安全工具不同，使用Drydock建立自定義配置檔案非常容易。該工具有一個内置的配置檔案，包含了所有将要執行的稽核測試，通過添加注釋你就可以控制需要執行的檢查。

Twistlock

Twistlock 是Docker的另一個安全稽核工具。和其他解決方案不同的是它是一種商業應用，提供了一個免費的開發版和一個有許可的企業版。

Twistlock掃描容器棧中的每一個單獨層，并能夠使用内容指紋技術識别各種元件以及可能與這些元件相關聯的漏洞。

Twistlock企業版使用了機器學習來幫助識别漏洞，此外還提供了自動化政策建立和執行功能。免費的開發者版本和企業版有很多相似之處，但開發者版需要手動建立政策，依賴于社群的支援，而它也限制了隻有10個倉庫和兩台主機。 

本文作者：佚名

來源：51CTO