English English French French Spanish Spanish German German
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
Teilen:

11 Container-Sicherheitsscanner zum Auffinden von Sicherheitslücken

Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Sind Ihr Container und Ihr Docker-Image sicher?

Lass es uns herausfinden!

Hacker sind in den letzten Jahren sehr aktiv geworden. Selbst große Organisationen wie Facebook, Google und Yahoo wurden Opfer von Angriffen, die Millionen von Dollar verloren haben. Aus diesem Grund ist die Sicherheit einer Anwendung heutzutage in jedem Unternehmen von größter Bedeutung.

Viele dieser Anwendungen werden heute in Containern ausgeführt, da sie einfach skalierbar, kostengünstig und schneller bereitstellbar sind, weniger Speicherplatz beanspruchen und Ressourcen weitaus besser nutzen als virtuelle Maschinen. Der Sicherheitsfaktor dieser Container ist also sehr entscheidend. Ein Container-Image besteht aus Ebenen, und um die Schwachstellen eines Images wirklich zu verstehen, müssen Sie auf jede Ebene zugreifen. Die kleineren Container-Images haben eine geringere Chance, potenziellen Schwachstellen ausgesetzt zu werden.

Containerisierung ist eine der Kernphasen im DevOps-Prozess, in der die Sicherheit ernsthaft geprüft werden muss. Ein Container-Image kann viele Fehler und Sicherheitslücken aufweisen, was Hackern eine gute Gelegenheit bietet, auf die Anwendung oder die auf dem Container vorhandenen Daten zuzugreifen, was das Unternehmen Millionen kostet.

Daher ist es wichtig, die Bilder und Container regelmäßig zu scannen und zu prüfen. DevSecOps spielt eine wichtige Rolle bei der Erhöhung der Sicherheit der DevOps-Prozesse, einschließlich des Scannens von Bildern und Containern auf Fehler und Schwachstellen.

Ein Container-Sicherheitsscanner hilft Ihnen dabei, alle Schwachstellen in Ihren Containern zu finden und sie regelmäßig auf Angriffe, Probleme oder neue Fehler zu überwachen.

Lassen Sie uns die verfügbaren Optionen untersuchen.

Clair

Clair ist ein Open-Source-Projekt, das statische Sicherheit und Schwachstellenüberprüfung für Docker- und Anwendungscontainer (Appc) bietet.

Es ist eine API-gesteuerte Analyse-Engine, die die Container Schicht für Schicht auf Sicherheitslücken prüft. Sie können Dienste mit Clair erstellen, die Ihre Container kontinuierlich auf Container-Schwachstellen überwachen können. Es benachrichtigt Sie über eine potenzielle Bedrohung im Container. Es benachrichtigt Sie über eine potenzielle Bedrohung im Container basierend auf der Common Vulnerabilities and Exposures Database (CVE) und ähnliche Datenbanken.

Wenn eine Bedrohung oder ein Problem festgestellt wird, das bereits in der Nationale Sicherheitslücken-Datenbank (NVD)Es werden die Details abgerufen und die Details im Bericht bereitgestellt.

Clair Dashboard

Clair Eigenschaften:

  • Scannt nach vorhandenen Schwachstellen und verhindert, dass sie in Zukunft eingeführt werden.
  • Bietet REST-API für die Integration mit anderen Tools
  • Sendet eine Benachrichtigung, wenn eine Sicherheitsanfälligkeit festgestellt wird
  • Stellt einen Bericht im HTML-Format mit allen Details des Scans bereit
  • Aktualisiert Metadaten in regelmäßigen Abständen

Anchore

Anker ist ein Open-Source-Projekt zur eingehenden Analyse von Docker-Bildern.

Außerdem wird ein Docker-Image zertifiziert, das angibt, ob es gesichert ist oder nicht. Die Anchore-Engine kann wie auf einer eigenständigen oder auf Orchestrierungsplattformen wie z Kubernetes, Rancher, Amazon ECS, Docker Swarm. Anchore ist auch in Jenkins-Plugins verfügbar, um die CI / CD-Pipeline zu scannen.

Wenn Sie nur einen Kubernetes-Scanner benötigen, schauen Sie sich diese Tools an Sicherheitslücken in Kubernetes finden.

Sie müssen ein Docker-Image an Anchore senden, das analysiert und Ihnen die Details liefert, wenn es Schwachstellen aufweist. Sie können Ihre benutzerdefinierte Sicherheitsrichtlinie auch verwenden, um ein Bild im Anker zu bewerten.

Anker Armaturenbrett

Sie können über CLI- oder REST-APIs auf die Anker-Engine zugreifen.

Ankerfunktionen:

  • Bietet eine umfassende Inspektion von Container-Images, Betriebssystempaketen und Softwareartefakten wie JAR-Dateien
  • Integriert sich nahtlos in Ihre CI / CD-Pipeline, um Sicherheitslücken zu finden
  • Definiert und wendet Richtlinien an, um das Erstellen und Bereitstellen gefährlicher Images zu verhindern
  • Suchen Sie nach zertifizierten und gesicherten Images, bevor Sie sie auf einer Orchestrierungsplattform bereitstellen.
  • Passen Sie die Überprüfung auf Schwachstellen, Konfigurationsdateien, Image-Geheimnisse, exponierte Ports usw. an.

Dagda

Dagda ist ein Open-Source-Tool zur statischen Analyse bekannter Schwachstellen wie Trojaner, Malware, Viren usw. in Docker-Images und -Containern. Es verwendet die ClamAV-Antiviren-Engine, um solche Schwachstellen zu erkennen.

Es importiert zunächst alle bekannten Schwachstellen aus CVE, Red Hat Security Advisories (RHSA), Red Hat Bug Advisories (RHBA), Bugtraq IDs (BID) und der Offensive Security-Datenbank in eine MongoDB. Anschließend werden entsprechend der importierten Schwachstellen die Images und Container analysiert.

Dagda Eigenschaften:

  • Unterstützt mehrere Linux-Images (CentOS, Ubuntu, OpenSUSE, Alpine usw.)
  • Analysiert Abhängigkeiten von Java, Python Node JS, Javascript, Ruby, PHP
  • Integriert in Falco zur Überwachung der laufenden Container
  • Speichert jeden Analysebericht in MongoDB, um den Verlauf jedes Docker-Images oder Containers zu verwalten

Falco

Falco ist ein Open-Source-Projekt und eine Bedrohungserkennungs-Engine für Kubernetes. Es ist ein Laufzeitsicherheitstool zum Erkennen anomaler Aktivitäten in Hosts und Containern, die auf Kubernetes ausgeführt werden. Es erkennt unerwartete Verhaltensweisen in Ihrer Anwendung und warnt Sie zur Laufzeit vor Bedrohungen.

Falco Armaturenbrett

Es verwendet tcpdump wie die Syntax zum Erstellen der Regeln und nutzt Bibliotheken wie libscap und libinsp, die Daten von Ihrem Kubernetes-API-Server oder Ihrer Container-Laufzeitumgebung abrufen können.

Anschließend können Sie diese Metadaten verwenden, um Informationen zu Pods, Beschriftungen und Namespaces zu erhalten und Regeln zu erstellen, die für einen bestimmten Namespace oder ein bestimmtes Container-Image spezifisch sind. Die Regeln konzentrieren sich auf Systemaufrufe und darauf, welche Systemaufrufe auf dem System zulässig und nicht zulässig sind.

Aqua Security

Aqua Sicherheit schützt Anwendungen, die mit Cloud-nativen Technologien wie Containern erstellt wurden. Es bietet Schwachstellen-Scanning und -Management für Orchestratoren wie Kubernetes.

Es ist eine umfassende Sicherheitsplattform, um sicherzustellen, dass die auf den Containern ausgeführten Anwendungen sicher sind und in einer sicheren Umgebung ausgeführt werden.

Während Entwickler Bilder erstellen, verfügen sie über eine Reihe von Technologien und Bibliotheken, um ihre Bilder zu erstellen. Mit Aqua Security können sie diese Bilder scannen, um sicherzustellen, dass diese Bilder sauber sind, keine bekannten Sicherheitslücken aufweisen, keine bekannten Kennwörter oder Geheimnisse bekannt sind und keine Sicherheitsbedrohung vorliegt, die dieses Bild anfällig machen könnte .

Aqua Security Dashboard

Wenn eine Sicherheitsanfälligkeit festgestellt wird, meldet aqua security diese an den Entwickler zurück und empfiehlt, was zu tun ist, um diese anfälligen Bilder zu beheben.

Aqua Security verfügt auch über Technologien, die sicherstellen, dass es nicht angegriffen oder von Sicherheitsbedrohungen durchdrungen wird, sobald der Container in Produktion ist.

Docker Bench

Docker Bench Sicherheit ist ein Skript mit mehreren automatisierten Tests, um nach den Best Practices für die Bereitstellung von Containern in der Produktion zu suchen.

Zum Ausführen der Docker-Bank-Sicherheit benötigen Sie Docker 1.13.0 oder höher.

Sie müssen den folgenden Befehl ausführen, um die Docker-Bank-Sicherheit auszuführen.

docker run -it --net host --pid host --userns host --cap-add audit_control \
-e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
-v /var/lib:/var/lib \
-v /var/run/docker.sock:/var/run/docker.sock \
-v /usr/lib/systemd:/usr/lib/systemd \
-v /etc:/etc --label docker_bench_security \
docker/docker-bench-security

Danach wird das Skript ausgeführt und es werden Details für freigegeben INFO, WARN, PASS. Nach dem Ausführen des Skripts können Sie alle Warnmeldungen überprüfen und die Korrekturen vornehmen.

Docker Bank Sicherheit

Harbor

Hafen ist eine Open-Source- und vertrauenswürdige native Cloud-Registrierung, die Sicherheitsrichtlinien und rollenbasierte Zugriffssteuerung (RBAC) bietet. Es speichert, signiert und scannt Docker-Images auf Schwachstellen. Es kann auf einem Kubernetes-Cluster oder einem anderen System installiert werden, das Docker unterstützt.

Hafen Armaturenbrett

Hafenmerkmale:

  • Einfache Bereitstellung mit Docker komponieren
  • Bietet Sicherheits- und Schwachstellenanalyse
  • Signieren und Validieren von Inhalten mit mehreren Mandanten
  • Identitätsintegration und rollenbasierte Zugriffskontrolle
  • Erweiterbare API und Benutzeroberfläche
  • Image-Replikation zwischen Instanzen
  • Unterstützt LDAP / AD und OIDC für die Benutzerverwaltung und Benutzerauthentifizierung

JFrog Xray

JFrog Röntgen ist ein kontinuierliches Open-Source-Tool für Sicherheit und universelle Artefaktanalyse.

Mit JFrog Xray können Sie Ihre Artefakte und Abhängigkeiten kontinuierlich auf Sicherheitslücken und Lizenzkonformitätsprobleme überprüfen.

Als universelle Lösung zur Analyse von Artefakten identifiziert Xray proaktiv Sicherheitslücken und Lizenzrisiken. Vor der Manifestation in der Produktion wird Xray nativ in JFrog Artifactory integriert und bietet Transparenz in allen Artefakt-Metadaten, einschließlich des Sicherheitsstatus auf einem einzigen Bildschirm.

jfrog röntgen

Die JFrog Xray-Datenbank mit neuen Schwachstellen und Technologien wird ständig erweitert, sodass Sie mit weniger Kompromissen bessere technische Beurteilungen vornehmen können. Es vergleicht alle Ihre Komponenten mit der wachsenden Datenbank neuer Schwachstellen und weist Sie auch nach der Veröffentlichung auf neue Probleme hin.

Es unterstützt alle Pakettypen und verwendet tief rekursives Scannen, um alle unterstrichenen Ebenen und Abhängigkeiten zu überprüfen, auch diejenigen, die in Docker-Images und Zip-Dateien enthalten sind. JFrog Xray erstellt außerdem ein Diagramm Ihrer Artefakt- und Abhängigkeitsstruktur sowie eine Auswirkungsanalyse der entdeckten Schwachstellen und Lizenzprobleme

Qualys

Qualys Containersicherheit ist ein Tool zum Erkennen, Verfolgen und kontinuierlichen Schützen von Containerumgebungen. Es sucht nach Schwachstellen in Images oder Containern in der DevOps-Pipeline und in Bereitstellungen in Cloud- oder lokalen Umgebungen.

Qualys

Qualys bietet eine kostenlose Version der Container-Sicherheitsanwendung, um Benutzern einen Einblick in das Angebot zu geben. Sie erhalten eine Ansicht von Bildern und Containern, die in der Umgebung ausgeführt werden. Wenn Sie sie scannen möchten, müssen Sie das kostenpflichtige Abonnement abschließen.

Es bietet auch Laufzeitsicherheit für Container, indem es die Funktionsebene angibt Firewall für Container. Es bietet detaillierte Einblicke in das Containerverhalten und schützt das Image und die ausgeführten Container mithilfe der Qualys CRS-Schicht (Container Runtime Security).

Docker Scan

Noch in der Beta, Docker-Scan Hebelwirkungen Sync Engine und in der Lage, lokale Docker-Dateien, Bilder und deren Abhängigkeiten zu scannen, um bekannte Schwachstellen zu finden. Du kannst rennen docker scan von Docker-Desktop.

docker scan mydockerimage

Grype

Containersicherheit ist heutzutage ein beliebtes Thema. Der Scanner zum Scannen der Containersicherheit ist eines von vielen Tools, mit denen Sie Ihre Container sichern können. Grupe ist ein Sicherheitsscanner für Container, der verwendet wird, um Schwachstellen in Containern zu identifizieren, die auf beliebigen Plattformen laufen.

Es ist zu finden auf GitHub und ist Open-Source. Für Grype sind sowohl eine Webanwendung als auch ein Befehlszeilentool verfügbar.

grypevulnerabilitiesscanner

Dieses Open-Source-Tool zum Scannen von Sicherheitslücken in Containern hilft DevOps Teams beim Auffinden und Beheben von Sicherheitslücken in ihren Laufzeitumgebungen und Container-Images.

Es überprüft laufende Container auf potenzielle Sicherheitslücken und scannt öffentliche und private Docker-Images auf Schwachstellen. Grype kann allein oder als Plug-in für bekannte DevOps-Instrumente wie Jenkins, CircleCI und Travis CI verwendet werden.

Top Features

  • Unterstützt alle gängigen Betriebssysteme, einschließlich Redhat, Oracle, Ubuntu, CentOS usw.
  • Einfache Installation und Kompatibilität mit mehreren anderen Sprachen, einschließlich Java, Ruby, PHP und DotNet
  • Akzeptiert Syft-, SPDX- und CycloneDX-SBOM-Eingabeformate
  • Das Ausgabeformat kann mithilfe von Go-Vorlagen definiert werden
  • Unterstützt mehrere Quellen zum Erstellen von Schwachstellendatenbanken, um die Zuverlässigkeit des Schwachstellenabgleichs zu erhöhen.

Grype gewinnt an Popularität, weil es einfach zu installieren ist und auf jeder Plattform verwendet werden kann, die Container unterstützt.

Da es zahlreiche Möglichkeiten gibt, einen Container anzugreifen, ist ein solider Sicherheitsscanner unerlässlich. Daher kann ein neuer Container-Sicherheitsscanner, Grype, verwendet werden, um Schwachstellen in Containern zu finden und Angriffe zu verhindern.

Fazit

Jetzt wissen Sie, dass es einen Container-Sicherheitsscanner gibt, also keine Entschuldigung. Gehen Sie voran und versuchen Sie zu sehen, wie sie Ihnen helfen können, Ihre zu behalten containerisierte Anwendung Gesichert und geladen.

Danke an unsere Sponsoren
Weitere großartige Lektüre zu DevOps
Macht Ihr Geschäft
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder