In DevOps y Seguridad Última actualizaciónated:
Comparte en:
Cloudways ofrece alojamiento en la nube administrado para empresas de cualquier tamaño para alojar un sitio web o aplicaciones web complejas.

¿Están seguros su contenedor y la imagen de Docker?

¡Vamos a averiguar!

Los hackers se han vuelto muy activos en los últimos años. Incluso grandes organizaciones como Facebook, Google y Yahoo han sido víctimas de ataques que han perdido millones de dólares. Es por eso que la seguridad de una aplicación es lo más importante en todas las organizaciones en la actualidad.

Many of these applications today run inside containers as they are easily scalable, cost-effective, faster deployable, take lesser storage, and use resources far better than virtual machines. So, the security factor of these containers is very crucial. A container image is made up of layers, and to get a real understanding of an image’s vulnerability stance, you need to access each layer. The smaller container images have a lesser chance to get exposed to potential vulnerabilities.

El uso de contenedores es una de las etapas centrales en DevOps process donde la seguridad debe ser considerada con seriedad. Una imagen de contenedor puede tener muchos errores y vulnerabilidades de seguridad, lo que brinda una buena oportunidad para que los piratas informáticos obtengan acceso a la aplicación o a los datos presentes en el contenedor, lo que le cuesta millones a la empresa.

Por lo tanto, es fundamental escanear y auditar las imágenes y los contenedores con regularidad. DevSecOps juega un papel importante al agregar seguridad a DevOps processes, incluido el escaneo de imágenes y contenedores en busca de errores y vulnerabilidades.

A seguridad de contenedores scanner will help you find all the vulnerabilities inside your containers and monitor them regularly against any attack, issue, or a new bug.

Exploremos las opciones disponibles.

Clair

Clair es un proyecto de código abierto que ofrece seguridad estática y escaneo de vulnerabilidades para contenedores docker y de aplicaciones (appc).

It is an API-driven analysis engine that checks for security flaws in the containers layer by layer. You can build services using Clair, which can monitor your containers continuously for any container vulnerabilities. It notifies you about a potential threat in the container. It notifies you about a potential threat in the container based on the Base de datos común de vulnerabilidades y exposiciones (CVE) y bases de datos similares.

Si alguna amenaza o problema identifica que ya existe en el Base de datos nacional de vulnerabilidades (NVD), recuperará los detalles y proporcionará los detalles en el informe.

Características de Clair:

  • Escanea en busca de vulnerabilidades existentes y prevevitar que se introduzcan en el futuro.
  • Proporciona API REST para la integración con otras herramientas
  • Envía una notificación cuando identifica alguna vulnerabilidad
  • Proporciona informe en formato HTML con todos los detalles del escaneo
  • Actualizaciónates metadatos a intervalos regulares

ancla

ancla es un proyecto de código abierto para el análisis profundo de imágenes de Docker.

También certifica una imagen de la ventana acoplable indicando si está protegida o no. El motor Anchore puede funcionar de forma independiente o orquestada platformas como Kubernetes, Ganadero, Amazon ECS, Enjambre Docker. Anchore también está disponible en complementos de Jenkins para escanear la canalización de CI/CD.

Si solo necesita un escáner de Kubernetes, consulte estas herramientas para encontrar fallas de seguridad en Kubernetes.

Debe enviar una imagen de la ventana acoplable al anclaje, que la analizará y le proporcionará los detalles si tiene alguna vulnerabilidad. También puede utilizar su política de seguridad personalizada para evaluarate una imagen en el ancla.

Puede acceder al motor de anclaje a través de CLI o API REST.

Características de Anchore:

  • Proporciona profundidad inspection de imágenes de contenedores, paquetes de sistema operativo y artefactos de software como archivos jar
  • Integrarates con su canal de CI/CD sin problemas para encontrar violaciones de seguridad
  • Define y aplica políticas para prevent construyendo y desplegando imágenes peligrosas
  • Busque únicamente imágenes certificadas y seguras antes de implementarlas en una orquestación. plat.
  • Personalice las comprobaciones de vulnerabilidades, archivos de configuración, secretos de imágenes, puertos expuestos, etc.

Dagda

Dagda es una herramienta de código abierto para el análisis estático de vulnerabilidades conocidas, como troyanos, malware, virus, etc. en imágenes y contenedores de Docker. Utiliza el motor antivirus ClamAV para detectar tales vulnerabilidades.

Primero importa todas las vulnerabilidades conocidas de CVE, Red Hat Security Advisories (RHSA), Red Hat Bug Advisories (RHBA), Bugtraq ID (BID) y la base de datos de Offensive Security en un MongoDB. Luego, correspondiente a las vulnerabilidades importadas, se analizan las imágenes y los contenedores.

Características de Dagda:

  • Admite múltiples imágenes de Linux (CentOS, Ubuntu, OpenSUSE, Alpine, etc.)
  • Analiza las dependencias de java, python node js, javascript, ruby, PHP
  • Integrarates with Falco for monitoring the running containers
  • Almacena cada informe de análisis en MongoDB para mantener el historial de cada imagen o contenedor de la ventana acoplable

Falco

Falco es un proyecto de código abierto y un motor de detección de amenazas para Kubernetes. Es una herramienta de seguridad en tiempo de ejecución para detectar actividad anómala en hosts y contenedores que se ejecutan en Kubernetes. Detecta cualquier comportamiento inesperado en su aplicación y le alerta sobre las amenazas en tiempo de ejecución.

Utiliza tcpdump como sintaxis para construir las reglas y leverbibliotecas antiguas como libscap y libinsp que tienen la capacidad de ingresar y extraer datos de su servidor API de Kubernetes o de su entorno de ejecución de contenedor.

Luego, puede usar esos metadatos para conocer los pods, las etiquetas y los espacios de nombres para actuar.ally ve y create reglas específicas para un espacio de nombres particular o una imagen de contenedor particular. Las reglas se centran en las llamadas al sistema y en qué llamadas se permiten y no se permiten en el sistema.

Seguridad Aqua

Seguridad Aqua protege las aplicaciones creadas con tecnologías nativas de la nube, como contenedores. Proporciona escaneo y administración de vulnerabilidades para orquestadores como Kubernetes.

Es una seguridad integral platformulario para garantizar que las aplicaciones que se ejecutan en los contenedores sean seguras y se ejecuten en un entorno seguro.

A medida que los desarrolladores crean imágenes, tienen un conjunto de tecnologías y bibliotecas para crear sus imágenes. Aqua Security les permite escanear esas imágenes para asegurarse de que estén limpias, que no tengan vulnerabilidades conocidas, que no tengan contraseñas o secretos conocidos, y ningún tipo de amenaza de seguridad que pueda hacer que esa imagen sea vulnerable. .

Si se encuentra alguna vulnerabilidad, aqua security los informa al desarrollador y recomienda lo que deben hacer para corregir esas imágenes vulnerables.

Aqua Security también cuenta con tecnologías para garantizar que no sea atacado ni penetrado.ated con cualquier amenaza a la seguridad una vez que el contenedor esté en producción.

Docker Bench

Docker Bench Seguridad es un script con múltiples automatePruebas realizadas para comprobar las mejores prácticas para implementar contenedores en producción.

Para ejecutar la ventana acoplable bench seguridad, necesita tener Docker 1.13.0 o later.

Debe ejecutar el siguiente comando para ejecutar Docker bench seguridad.

docker run -it --net host --pid host --userns host --cap-add audit_control \
-e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
-v /var/lib:/var/lib \
-v /var/run/docker.sock:/var/run/docker.sock \
-v /usr/lib/systemd:/usr/lib/systemd \
-v /etc:/etc --label docker_bench_security \
docker/docker-bench-security

Después de esto, el script se ejecutará y compartirá detalles para INFO, WARN, PASS. Después de ejecutar el script, puede verificar todos los mensajes de advertencia y realizar las correcciones.

harbor

harbor es un registro nativo en la nube confiable y de código abierto que proporciona políticas de seguridad y control de acceso basado en roles (RBAC). Almacena, firma y escanea imágenes de la ventana acoplable en busca de vulnerabilidades. Se puede instalar en un clúster de Kubernetes o en cualquier otro sistema que admita Docker.

Características del puerto:

  • Fácilmente implementable usando Docker Compose
  • Proporciona análisis de seguridad y vulnerabilidad.
  • Firma y validación de contenido de múltiples inquilinos
  • Integración de identidad y control de acceso basado en roles
  • API e interfaz de usuario extensibles
  • Replicación de imágenes entre instancias
  • Admite LDAP / AD y OIDC para la gestión y autenticación de usuarios

Rayos X de JFrog

Rayos X de JFrog es una herramienta de análisis de artefactos universal y de seguridad de código abierto continuo.

Con JFrog Xray, puede escanear continuamente sus artefactos y dependencias en busca de vulnerabilidades de seguridad y problemas de cumplimiento de licencias.

Como solución universal de análisis de artefactos, Xray identifica de forma proactiva vulnerabilidades de seguridad y riesgos de licencia. Antes de manifestarse en producción, Xray se integra de forma nativa.ates con JFrog Artifactory brinda visibilidad de todos los metadatos del artefacto, incluido el estado de seguridad en una sola pantalla.

JFrog Xray database of new vulnerabilities and technologies is constantly expanding, enabling you to make better technical judgments with fewer trade-offs. It checks all your components against its growing base de datos de nuevas vulnerabilidades y le alerta sobre nuevos problemas incluso después del lanzamiento.

Admite todos los tipos de paquetes y utiliza un escaneo recursivo profundo para revVisualice todas las capas y dependencias subrayadas, incluso aquellas empaquetadas en imágenes de Docker y archivos zip. JFrog Xray también creaateun gráfico de sus artefactos y estructura de dependencias y impact Análisis de las vulnerabilidades y problemas de licencia descubiertos.

Qualys

Qualys seguridad de contenedores es una herramienta que se utiliza para descubrir, rastrear y proteger continuamente los entornos de contenedores. Busca vulnerabilidades dentro de imágenes o contenedores en la canalización de DevOps y las implementaciones en la nube o en entornos locales.

Qualys proporciona una versión gratuita de la aplicación de seguridad de contenedores para brindar a los usuarios una idea de lo que puede ofrecer. Le brinda una vista de imágenes y contenedores que se ejecutan en el entorno. Si desea escanearlos, debe adquirir su suscripción paga.

También proporciona seguridad en tiempo de ejecución para contenedores al proporcionar el nivel de función cortafuegos para contenedores. Proporciona visibilidad detallada del comportamiento de los contenedores y protege la imagen y los contenedores en ejecución mediante Qualys Capa CRS (seguridad del tiempo de ejecución del contenedor).

Escaneo de Docker

Aún así, en beta Escaneo de Docker leveredades Sink motor y capaz de escanear archivos Docker locales, imágenes y sus dependencias para encontrar vulnerabilidades conocidas. Tu puedes correr docker scan del Escritorio Docker.

docker scan mydockerimage

sujeción

En estos días, la seguridad de los contenedores es un tema popular. El escáner para escanear la seguridad de los contenedores es una de las muchas herramientas que puede usar para proteger sus contenedores. sujeción es un escáner de seguridad para contenedores que se utiliza para identificar vulnerabilidades en contenedores que operan en cualquier plat.

Se puede encontrar en GitHub y es de código abierto. Tanto una aplicación web como una herramienta de línea de comandos están disponibles para Grype.

Esta herramienta de escáner de vulnerabilidades de contenedores de código abierto ayuda DevOps equipos para encontrar y resolver fallas de seguridad en sus entornos de tiempo de ejecución e imágenes de contenedores.

Comprueba los contenedores en ejecución en busca de posibles fallos de seguridad y escanea los espacios públicos y privados.ate Imágenes de Docker para vulnerabilidades. Grype se puede utilizar solo o como complemento para herramientas DevOps conocidas como Jenkins, CircleCI y Travis CI.

Características Principales

  • Admite todos los sistemas operativos populares, incluidos Redhat, Oracle, Ubuntu, CentOS, etc.
  • Instalación simple y compatibilidad con varios otros idiomas, incluidos Java, Rubí, PHP y DotNet
  • Acepta formatos de entrada Syft, SPDX y CycloneDX SBOM
  • Su formato de salida se puede definir usando Go templates
  • Admite varias fuentes para crear bases de datos de vulnerabilidades para aumentar la confiabilidad de la comparación de vulnerabilidades.

Grype está ganando popularidad porque es fácil de instalar y puede usarse en cualquier platForma que soporta contenedores.

Dado que existen numerosas formas de atacar un contenedor, es esencial contar con un escáner de seguridad sólido. Por lo tanto, se puede utilizar un nuevo escáner de seguridad de contenedores, Grype, para encontrar vulnerabilidades en contenedores y p.revataques directos.

Para Concluir

Ahora sabe que el escáner de seguridad de contenedores existe, así que no hay excusa. Continúe e intente ver cómo pueden ayudarlo a mantener su aplicación en contenedor seguro y a salvo.

Comparte en:
  • Avi
    Autor
    Avi es un entusiasta de la tecnología con experiencia en tecnologías de tendencia como DevOps, Cloud Computing, Big Data y muchas más. el es pasionate sobre aprender tecnologías de vanguardia y compartir su conocimiento con otros a través de...

Gracias a nuestros patrocinadores

Más lecturas excelentes sobre DevOps

Técnicas avanzadas de formato en Google Docs
Más allá de lo básico: técnicas avanzadas de formato en Google Docs

Google Docs hace un gran trabajo manteniendo las cosas simples. La configuración de página predeterminada funciona muy bien para la mayoría de los documentos y las opciones de formato comunes se encuentran directamente en la barra de herramientas. Sin embargo, cuando necesites realizar algún formateo avanzado, necesitarás profundizar un poco más.

Impulse su negocio

Algunas de las herramientas y servicios para ayudar a su negocio grow.
  • La herramienta de conversión de texto a voz que utiliza IA para generarate Voces realistas parecidas a las humanas.

    Intente Murf AI
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.

    Prueba Brightdata
  • Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.

    Intente Monday
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.

    Intente Intruder