• ¡Obtenga la seguridad de la aplicación de la manera correcta! Detectar, proteger, monitorear, acelerar y más ...
  • ¿Están seguros su contenedor y la imagen de Docker?

    ¡Vamos a averiguar!

    Los hackers se han vuelto muy activos en los últimos años. Incluso grandes organizaciones como Facebook, Google y Yahoo han sido víctimas de ataques que han perdido millones de dólares. Es por eso que la seguridad de una aplicación es lo más importante en todas las organizaciones en la actualidad.

    Hoy en día, muchas de estas aplicaciones se ejecutan dentro de contenedores, ya que son fácilmente escalables, rentables, de implementación más rápida, requieren menos almacenamiento y utilizan los recursos mucho mejor que las máquinas virtuales. Entonces, el factor de seguridad de estos contenedores es muy crucial. Una imagen de contenedor está formada por capas, y para obtener una comprensión real de la posición de vulnerabilidad de una imagen, debe acceder a cada capa. Las imágenes de contenedores más pequeños tienen menos posibilidades de exponerse a vulnerabilidades potenciales.

    El uso de contenedores es una de las etapas centrales del proceso de DevOps donde la seguridad se debe considerar con seriedad. Una imagen de contenedor puede tener muchos errores y vulnerabilidades de seguridad, lo que brinda una buena oportunidad para que los piratas informáticos obtengan acceso a la aplicación o los datos presentes en el contenedor que cuestan millones para la empresa.

    Por lo tanto, es fundamental escanear y auditar las imágenes y los contenedores con regularidad. DevSecOps juega un papel importante en la adición de seguridad a los procesos de DevOps, incluido el escaneo de imágenes y contenedores en busca de errores y vulnerabilidades.

    Un escáner de seguridad de contenedores lo ayudará a encontrar todas las vulnerabilidades dentro de sus contenedores y a monitorearlas regularmente contra cualquier ataque, problema o error nuevo.

    Exploremos las opciones disponibles.

    Clair

    Clair es un proyecto de código abierto que ofrece seguridad estática y escaneo de vulnerabilidades para contenedores docker y de aplicaciones (appc).

    Es un motor de análisis impulsado por API que busca fallas de seguridad en los contenedores capa por capa. Puede crear servicios usando Clair, que puede monitorear sus contenedores continuamente para detectar vulnerabilidades de contenedores. Le notifica sobre una amenaza potencial en el contenedor. Le notifica sobre una amenaza potencial en el contenedor según la Base de datos común de vulnerabilidades y exposiciones (CVE) y bases de datos similares.

    Si alguna amenaza o problema identifica que ya existe en el Base de datos nacional de vulnerabilidades (NVD), recuperará los detalles y proporcionará los detalles en el informe.

    tablero de Clair

    Características de Clair:

    • Busca vulnerabilidades existentes y evita que se introduzcan en el futuro.
    • Proporciona API REST para la integración con otras herramientas
    • Envía una notificación cuando identifica alguna vulnerabilidad
    • Proporciona informe en formato HTML con todos los detalles del escaneo
    • Actualiza metadatos a intervalos regulares.

    Anchore

    Anchore es un proyecto de código abierto para el análisis profundo de imágenes de Docker.

    También certifica una imagen de la ventana acoplable que indica si está protegida o no. Anchore Engine se puede ejecutar de forma independiente o en plataformas de orquestación como Kubernetes, Ganadero, Amazon ECS, Docker Swarm. Anchore también está disponible en los complementos de Jenkins para escanear la canalización de CI / CD.

    Si solo necesita un escáner de Kubernetes, consulte estas herramientas para encontrar fallas de seguridad en Kubernetes.

    Debe enviar una imagen de la ventana acoplable para anclar, que analizará y le proporcionará los detalles si tiene alguna vulnerabilidad. También puede utilizar su política de seguridad personalizada para evaluar una imagen en anchore.

    tablero de anclaje

    Puede acceder al motor de anclaje a través de CLI o API REST.

    Características de Anchore:

    • Proporciona una inspección profunda de imágenes de contenedores, paquetes de sistema operativo, artefactos de software como archivos jar
    • Se integra perfectamente con su canal de CI / CD para encontrar brechas de seguridad
    • Define y aplica políticas para evitar la creación y la implementación de imágenes peligrosas.
    • Verifique solo imágenes certificadas y seguras antes de implementarlas en una plataforma de orquestación.
    • Personalice las comprobaciones de vulnerabilidades, archivos de configuración, secretos de imágenes, puertos expuestos, etc.

    Dagda

    Dagda es una herramienta de código abierto para el análisis estático de vulnerabilidades conocidas, como troyanos, malware, virus, etc. en imágenes y contenedores de Docker. Utiliza el motor antivirus ClamAV para detectar tales vulnerabilidades.

    Primero importa todas las vulnerabilidades conocidas de CVE, Red Hat Security Advisories (RHSA), Red Hat Bug Advisories (RHBA), Bugtraq IDs (BID), base de datos de seguridad ofensiva a MongoDB. Luego, correspondientes a las vulnerabilidades importadas, se analizan las imágenes y los contenedores.

    Características de Dagda:

    • Admite múltiples imágenes de Linux (CentOS, Ubuntu, OpenSUSE, Alpine, etc.)
    • Analiza las dependencias de java, python node js, javascript, ruby, PHP
    • Se integra con Falco para monitorear los contenedores en ejecución
    • Almacena cada informe de análisis en MongoDB para mantener el historial de cada imagen o contenedor de la ventana acoplable

    Falco

    Falco es un proyecto de código abierto y un motor de detección de amenazas para Kubernetes. Es una herramienta de seguridad en tiempo de ejecución para detectar actividad anómala en hosts y contenedores que se ejecutan en Kubernetes. Detecta cualquier comportamiento inesperado en su aplicación y le alerta sobre las amenazas en tiempo de ejecución.

    tablero falco

    Utiliza tcpdump como sintaxis para construir las reglas y aprovecha bibliotecas como libscap y libinsp que tienen la capacidad de ingresar y extraer datos de su servidor API de Kubernetes o su entorno de ejecución de contenedor.

    Luego, puede usar esos metadatos para obtener información sobre los pods, las etiquetas y los espacios de nombres para crear reglas específicas para un espacio de nombres en particular o una imagen de contenedor en particular. Las reglas se centran en las llamadas al sistema y las llamadas al sistema que están permitidas y no permitidas en el sistema.

    Seguridad Aqua

    Seguridad Aqua proteja las aplicaciones creadas con tecnologías nativas de la nube, como contenedores. Proporciona análisis y gestión de vulnerabilidades para orquestadores como Kubernetes.

    Es una plataforma de seguridad integral para garantizar que las aplicaciones que se ejecutan en los contenedores sean seguras y se ejecuten en un entorno seguro.

    A medida que los desarrolladores crean imágenes, tienen un conjunto de tecnologías y bibliotecas para crear sus imágenes. Aqua Security les permite escanear esas imágenes para asegurarse de que estén limpias, que no tengan vulnerabilidades conocidas, que no tengan contraseñas o secretos conocidos, y ningún tipo de amenaza de seguridad que pueda hacer que esa imagen sea vulnerable. .

    tablero de seguridad aqua

    Si se encuentra alguna vulnerabilidad, aqua security los informa al desarrollador y recomienda lo que deben hacer para corregir esas imágenes vulnerables.

    Aqua Security también tiene tecnologías para garantizar que no sea atacado o penetrado con ninguna amenaza de seguridad una vez que el contenedor se ejecuta en producción.

    Banco Docker

    Seguridad del banco de Docker es un script con múltiples pruebas automatizadas para verificar las mejores prácticas para implementar contenedores en producción.

    Para ejecutar la seguridad del banco de Docker, debe tener Docker 1.13.0 o posterior.

    Debe ejecutar el siguiente comando para ejecutar la seguridad del banco de Docker.

    docker run -it --net host --pid host --userns host --cap-add audit_control \
    -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
    -v /var/lib:/var/lib \
    -v /var/run/docker.sock:/var/run/docker.sock \
    -v /usr/lib/systemd:/usr/lib/systemd \
    -v /etc:/etc --label docker_bench_security \
    docker/docker-bench-security

    Después de esto, el script se ejecutará y compartirá detalles para INFO, WARN, PASS. Después de ejecutar el script, puede verificar todos los mensajes de advertencia y realizar las correcciones.

    seguridad del banco del acoplador

    harbor

    harbor es un registro nativo en la nube confiable y de código abierto que proporciona políticas de seguridad y control de acceso basado en roles (RBAC). Almacena, firma y escanea imágenes de la ventana acoplable en busca de vulnerabilidades. Se puede instalar en un clúster de Kubernetes o en cualquier otro sistema que admita Docker.

    tablero del puerto

    Características del puerto:

    • Fácilmente implementable usando Docker Compose
    • Proporciona análisis de seguridad y vulnerabilidad.
    • Firma y validación de contenido de múltiples inquilinos
    • Integración de identidad y control de acceso basado en roles
    • API e interfaz de usuario extensibles
    • Replicación de imágenes entre instancias
    • Admite LDAP / AD y OIDC para la gestión y autenticación de usuarios

    JFrog Xray

    JFrog Xray es una herramienta de análisis de artefactos universal y de seguridad de código abierto continuo.

    Con JFrog Xray, puede escanear continuamente sus artefactos y dependencias en busca de vulnerabilidades de seguridad y problemas de cumplimiento de licencias.

    Como solución universal de análisis de artefactos, Xray identifica de forma proactiva las vulnerabilidades de seguridad y los riesgos de licencia. Antes de manifestarse en producción, Xray se integra de forma nativa con JFrog Artifactory proporcionando visibilidad en todos los metadatos de artefactos, incluido el estado de seguridad en una sola pantalla.

    jfrog radiografía

    La base de datos de JFrog Xray de nuevas vulnerabilidades y tecnologías se expande constantemente, lo que le permite realizar mejores juicios técnicos con menos compensaciones. Compara todos sus componentes con su base de datos en crecimiento de nuevas vulnerabilidades y le alerta sobre nuevos problemas incluso después del lanzamiento.

    Admite todos los tipos de paquetes y utiliza un escaneo recursivo profundo para revisar todas las capas y dependencias subrayadas, incluso aquellas empaquetadas en imágenes de Docker y archivos zip. JFrog Xray también crea un gráfico de su estructura de artefactos y dependencias y análisis de impacto de las vulnerabilidades y problemas de licencia descubiertos.

    Qualys

    Seguridad de contenedores Qualys es una herramienta que se utiliza para descubrir, rastrear y proteger continuamente los entornos de contenedores. Busca vulnerabilidades dentro de imágenes o contenedores en la canalización de DevOps y las implementaciones en la nube o en entornos locales.

    Qualys proporciona una versión gratuita de la aplicación de seguridad de contenedores para que los usuarios puedan tener una idea de lo que puede ofrecer. Le brinda una vista de las imágenes y los contenedores que se ejecutan en el entorno. Si desea escanearlos, debe tomar su suscripción paga.

    También proporciona seguridad en tiempo de ejecución para contenedores al proporcionar el nivel de función cortafuegos para contenedores. Brinda una visibilidad en profundidad del comportamiento de los contenedores y protege la imagen y los contenedores en ejecución mediante la capa Qualys CRS (seguridad en tiempo de ejecución del contenedor).

    Escaneo de Docker

    Aún así, en beta Escaneo de Docker apalancamientos Synk motor y capaz de escanear archivos Docker locales, imágenes y sus dependencias para encontrar vulnerabilidades conocidas. Tu puedes correr docker scan desde Escritorio Docker.

    docker scan mydockerimage

    Conclusión

    Ahora sabe que el escáner de seguridad de contenedores existe, así que no hay excusa. Continúe e intente ver cómo pueden ayudarlo a mantener su aplicación en contenedor seguro y a salvo.