Инструменты безопасности с открытым исходным кодом для облачных и контейнерных приложений

Опубликовано: 16 Апреля, 2023
Инструменты безопасности с открытым исходным кодом для облачных и контейнерных приложений

Поскольку контейнеры становятся все более популярными и упорядоченными, аспекты безопасности, связанные с контейнерами, также становятся все более важными для бизнеса. Контейнеризация имеет определенные структурные и операционные элементы, требующие особого внимания. Архитектурные различия, такие как общее ядро для контейнеров, требуют совершенно другого подхода к безопасности по сравнению с традиционными подходами к безопасности. Поэтому очень важно понимать и выполнять сканирование безопасности конкретного контейнера на более ранних этапах процесса сборки. Чтобы удовлетворить эти динамичные требования команд DevOps, на рынке доступно несколько инструментов безопасности с открытым исходным кодом. В этой статье рассматриваются некоторые популярные инструменты безопасности с открытым исходным кодом, которые ваши команды DevOps могут использовать для обеспечения безопасности вашей контейнерной среды.

Якорный двигатель

Anchore Engine — это инструмент безопасности с открытым исходным кодом, созданный для анализа и сканирования образов контейнеров на наличие уязвимостей. Этот инструмент доступен в виде образа контейнера Docker, который можно запускать как автономную установку или на платформе оркестровки. Это позволяет инженерам DevOps выявлять, тестировать и устранять уязвимости в образах Docker, которые они используют для создания приложений. Он также имеет основу OSS для Anchore Enterprise, которая обеспечивает управление политиками, сводную панель мониторинга, управление пользователями, отчеты об оценке безопасности и политик, графические клиентские элементы управления и другие внутренние модули и функции.

Существует несколько способов начать работу с Anchore Engine. Этот инструмент имеет простой и легкий процесс установки благодаря файлу компоновки Docker. Он реализует внутренний/серверный компонент для сканирования изображений. Сканер можно использовать в виде инструмента CLI, такого как Anchore CLI или плагин Jenkins. Он также может сканировать репозитории и добавлять любые теги в репозиторий. После добавления он регулярно опрашивает реестр и планирует их анализ. Пользователи этого инструмента также могут расширить Anchore Engine с помощью плагинов, которые добавляют новые запросы, политики и анализ изображений. Доступ к нему можно получить напрямую через RESTful API или через интерфейс командной строки Anchore. Последние руководства по установке и подробная информация доступны на странице GitHub и в базе знаний службы поддержки.

Фалько

Falco — это инструмент аудита безопасности с открытым исходным кодом, поддерживающий Kubernetes. Он был создан Sysdig, а теперь является частью Cloud Native Computing Foundation (CNCF). Этот инструмент обеспечивает поведенческий мониторинг для контейнеров, сети и активности хоста. Некоторые ключевые функции включают полную видимость контейнера с помощью одного датчика, который позволяет DevOps получать представление о поведении контейнера. Он может обнаруживать вредоносное или неизвестное поведение и отправлять предупреждения пользователям путем регистрации и уведомлений.

Falco может отслеживать и анализировать поведение действий, происходящих внутри контейнера, включая системные вызовы Linux. Он может отслеживать инциденты на основе контейнеров, включая выполнение шелл-кода внутри контейнеров, любой контейнер, работающий в привилегированном режиме, подключение любого пути к конфиденциальному каталогу (например, /proc) с хоста, неожиданные попытки чтения конфиденциальных файлов (например, /etc/shadow), или использование любого стандартного системного двоичного файла для исходящих сетевых подключений. При обнаружении любого вредоносного поведения, такого как использование определенных системных вызовов, определенных аргументов или свойств вызывающего процесса, он может отправлять предупреждения администраторам.

Клэр

Clair — это сканер уязвимостей с открытым исходным кодом и инструмент статического анализа образов контейнеров, предоставляемых CoreOS. Этот инструмент регулярно собирает информацию об уязвимостях из нескольких источников и сохраняет ее в базе данных. Он предоставляет клиентам API для выполнения и вызова сканирования. Пользователи этого инструмента могут использовать Clair API для составления списка своих образов контейнеров, что создаст список функций, существующих в образе, и сохранит их в базе данных. Когда происходят обновления метаданных уязвимости, в системы оповещения о произошедшем изменении может быть отправлено предупреждение/уведомление. Вместе с Clair можно использовать несколько сторонних инструментов для сканирования изображений с терминала в рамках сценария развертывания. Одним из хороших вариантов является Klar, который можно скачать со страницы GitHub.

Подробности установки этого инструмента доступны на GitHub, и его можно запустить как контейнер с Docker. Он также поставляется с файлом Docker Compose и диаграммой Helm, чтобы упростить установку, или его можно скомпилировать из исходного кода. Цель проекта Clair — обеспечить прозрачное представление о безопасности инфраструктуры на основе контейнеров. Проект был назван в честь французского слова, которое имеет английское значение яркого, ясного и прозрачного.

Дагда

Dagda — это инструмент с открытым исходным кодом, который используется для статического анализа известных уязвимостей, вредоносных программ, вирусов, троянов и других вредоносных угроз в образах или контейнерах Docker. Его можно использовать для мониторинга демона Docker и запуска контейнеров Docker для обнаружения нерегулярных или необычных действий. Этот инструмент поддерживает несколько базовых образов Linux, таких как Red Hat, CentOS, Fedora, Debian, Ubuntu, OpenSUSE и Alpine.

Дагда также поставляется с файлом Docker Compose, что упрощает его оценку. Несмотря на то, что Dagda поддерживает мониторинг контейнеров, он должен быть интегрирован с Sysdig Falco (проект с открытым исходным кодом для обеспечения безопасности во время выполнения в облаке). Он не поддерживает сканирование реестров или репозиториев, что делает его более подходящим решением для сканирования по запросу, чем сканирование реестра по расписанию. После установки база данных уязвимостей и известных эксплойтов импортируется и сохраняется в MongoDB. Затем он собирает сведения о программном обеспечении, установленном в образ Docker, чтобы убедиться, что каждый продукт и его версия не содержат уязвимостей по сравнению с ранее сохраненными сведениями в MongoDB. Этот инструмент также использует ClamAV в качестве антивирусного ядра для выявления троянов, вредоносных программ, вирусов и других вредоносных угроз, включенных в контейнеры/образы Docker. Основными целевыми пользователями этого инструмента являются системные администраторы, разработчики и специалисты по безопасности. Файл Docker Compose и связанные с ним сведения об установке доступны в репозитории Dagda'sGitHub.

Изображение 283
Шаттерсток

OpenSCAP

OpenSCAP — это инструмент аудита командной строки, который позволяет пользователям сканировать, загружать, редактировать, проверять и экспортировать документы SCAP. SCAP (Security Content Automation Protocol) — это решение для проверки соответствия инфраструктуре Linux корпоративного уровня, поддерживаемое NIST. Он использует расширяемый формат описания контрольного списка конфигурации (XCCDF), обычный способ отображения содержимого контрольного списка, и описывает контрольные списки безопасности.

OpenSCAP предоставляет набор инструментов для управления соответствием и сканирования, которые могут сканировать образ контейнера. С помощью таких инструментов, как oscap-docker, он также может помочь пользователям сканировать соответствие требованиям, например xccdf (формат описания расширяемого контрольного списка конфигурации). Этот пакет также имеет несколько дополнительных инструментов/компонентов, таких как OpenSCAP Base (для выполнения конфигурации и сканирования уязвимостей), OpenSCAP Daemon (служба, работающая в фоновом режиме), SCAP Workbench (графическая утилита, которая предлагает простой способ выполнения общих задач oscap) и SCAPtimony (промежуточное ПО, сохраняющее результаты SCAP для пользовательской инфраструктуры). Подробное руководство пользователя OpenSCAP можно найти на странице руководства пользователя. Кроме того, информация о компиляции, тестировании и отладке доступна в Руководстве разработчика OpenSCAP.

Выберите для себя подходящие инструменты безопасности с открытым исходным кодом

Инструменты безопасности с открытым исходным кодом играют важную роль в защите инфраструктуры на основе контейнеров. Такие инструменты, как Anchore, можно использовать для мощных возможностей управления, а с другой стороны, Dagda можно использовать для статического анализа известных уязвимостей. Два других инструмента, OpenSCAP и Clair, также предоставляют хорошие возможности для сканирования уязвимостей и управления соответствием требованиям. Таким образом, в зависимости от ваших бизнес-требований и приоритетов вы можете выбрать правильный инструмент для защиты ваших инвестиций в контейнеры.

Виртуализация

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Типы клиентов Citrix: возможности и ограничения
25 Апреля, 2023
Мой процессор на 100%, что я могу с этим поделать?
25 Апреля, 2023
Запуск устаревших 16-разрядных приложений в среде службы терминалов
25 Апреля, 2023
Внутри среды изоляции приложений Citrix Presentation Server
25 Апреля, 2023
Управление полосой пропускания: Часть 1 – Старомодный способ
25 Апреля, 2023
Управление специфичными для пользователя данными конфигурации приложения в среде службы терминалов
25 Апреля, 2023
Работа с плохой пропускной способностью и задержкой
25 Апреля, 2023
Терминальный сервер и вызов профиля
25 Апреля, 2023