• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • Votre conteneur et votre image Docker sont-ils sécurisés?

    Découvrons-le!

    Les hackers sont devenus très actifs ces dernières années. Même les grandes organisations comme Facebook, Google et Yahoo ont été victimes d'attaques perdant des millions de dollars. C'est pourquoi la sécurité d'une application est la chose la plus importante dans chaque organisation aujourd'hui.

    Aujourd'hui, bon nombre de ces applications s'exécutent dans des conteneurs, car elles sont facilement évolutives, rentables, déployables plus rapidement, nécessitent moins de stockage et utilisent les ressources bien mieux que les machines virtuelles. Ainsi, le facteur de sécurité de ces conteneurs est très crucial. Une image de conteneur est composée de couches, et pour avoir une réelle compréhension de la position de vulnérabilité d'une image, vous devez accéder à chaque couche. Les images de conteneurs plus petites ont moins de chances d'être exposées à des vulnérabilités potentielles.

    La conteneurisation est l'une des étapes fondamentales du processus DevOps où la sécurité doit être examinée sérieusement. Une image de conteneur peut avoir de nombreux bugs et vulnérabilités de sécurité, ce qui donne une bonne opportunité aux pirates d'accéder à l'application ou aux données présentes sur le conteneur coûtant des millions à l'entreprise.

    Par conséquent, il est essentiel de scanner et d'auditer régulièrement les images et les conteneurs. DevSecOps joue un rôle important dans l'ajout de la sécurité aux processus DevOps, y compris l'analyse des images et des conteneurs pour les bogues et les vulnérabilités.

    Un scanner de sécurité des conteneurs vous aidera à trouver toutes les vulnérabilités à l'intérieur de vos conteneurs et à les surveiller régulièrement contre toute attaque, problème ou nouveau bogue.

    Explorons les options disponibles.

    Clair

    Clair est un projet open-source qui offre une sécurité statique et une analyse de vulnérabilité pour les conteneurs docker et application (appc).

    Il s'agit d'un moteur d'analyse piloté par API qui vérifie les failles de sécurité dans les conteneurs couche par couche. Vous pouvez créer des services à l'aide de Clair, qui peut surveiller vos conteneurs en permanence pour détecter toute vulnérabilité de conteneur. Il vous informe d'une menace potentielle dans le conteneur. Il vous informe d'une menace potentielle dans le conteneur en fonction du Base de données commune sur les vulnérabilités et les expositions (CVE) et bases de données similaires.

    Si une menace ou un problème identifie ce qui est déjà présent dans le Base de données nationale sur les vulnérabilités (NVD), il récupérera les détails et fournira les détails dans le rapport.

    tableau de bord clair

    Caractéristiques de Clair:

    • Analyse les vulnérabilités existantes et empêche leur introduction à l'avenir.
    • Fournit l'API REST pour l'intégration avec d'autres outils
    • Envoie une notification lorsqu'il identifie une vulnérabilité
    • Fournit un rapport au format HTML avec tous les détails de l'analyse
    • Met à jour les métadonnées à intervalles réguliers

    Ancre

    Ancre est un projet open source pour une analyse approfondie des images docker.

    Il certifie également une image de docker indiquant si elle est sécurisée ou non. Le moteur Anchore peut fonctionner comme sur une plate-forme autonome ou sur des plates-formes d'orchestration telles que Kubernetes, Rancher, Amazon ECS, Docker Swarm. Anchore est également disponible dans les plugins Jenkins pour analyser le pipeline CI / CD.

    Si vous avez juste besoin d'un scanner Kubernetes, consultez ces outils pour trouver des failles de sécurité dans Kubernetes.

    Vous devez soumettre une image docker à ancrer, qui analysera et vous fournira les détails si elle présente des vulnérabilités. Vous pouvez également utiliser votre politique de sécurité personnalisée pour évaluer une image en ancrage.

    tableau de bord d'ancrage

    Vous pouvez accéder au moteur d'ancrage via CLI ou API REST.

    Caractéristiques d'ancrage:

    • Fournit une inspection approfondie des images de conteneurs, des packages de système d'exploitation, des artefacts logiciels tels que les fichiers JAR
    • S'intègre de manière transparente à votre pipeline CI / CD pour détecter les failles de sécurité
    • Définit et applique des politiques pour empêcher la création et le déploiement d'images dangereuses
    • Vérifiez uniquement les images certifiées et sécurisées avant de les déployer sur une plateforme d'orchestration.
    • Personnalisez les vérifications des vulnérabilités, des fichiers de configuration, des secrets d'image, des ports exposés, etc.

    dagda

    dagda est un outil open source pour l'analyse statique des vulnérabilités connues telles que les chevaux de Troie, les logiciels malveillants, les virus, etc. dans les images et les conteneurs Docker. Il utilise le moteur antivirus ClamAV pour détecter ces vulnérabilités.

    Il importe d'abord toutes les vulnérabilités connues de CVE, Red Hat Security Advisories (RHSA), Red Hat Bug Advisories (RHBA), Bugtraq IDs (BID), base de données de sécurité offensive dans un MongoDB. Ensuite, correspondant aux vulnérabilités importées, les images et les conteneurs sont analysés.

    Caractéristiques de Dagda:

    • Prend en charge plusieurs images Linux (CentOS, Ubuntu, OpenSUSE, Alpine, etc.)
    • Analyse les dépendances de java, python node js, javascript, ruby, PHP
    • S'intègre à Falco pour surveiller les conteneurs en cours d'exécution
    • Stocke chaque rapport d'analyse dans MongoDB pour conserver l'historique de chaque image ou conteneur de docker

    Falco

    Falco est un projet open source et un moteur de détection des menaces pour Kubernetes. Il s'agit d'un outil de sécurité d'exécution pour détecter les activités anormales dans les hôtes et les conteneurs exécutés sur Kubernetes. Il détecte tout comportement inattendu dans votre application et vous alerte sur les menaces au moment de l'exécution.

    tableau de bord falco

    Il utilise tcpdump comme la syntaxe pour créer les règles et exploite des bibliothèques telles que libscap et libinsp qui ont la capacité d'entrer et d'extraire des données de votre serveur d'API Kubernetes ou de votre environnement d'exécution de conteneur.

    Ensuite, vous pouvez utiliser ces métadonnées pour obtenir des pods, des étiquettes et des espaces de noms pour créer des règles spécifiques à un espace de noms particulier ou à une image de conteneur particulière. Les règles se concentrent sur les appels système et sur les appels système autorisés et interdits sur le système.

    Aqua sécurité

    Aqua sécurité protégez les applications créées à l'aide de technologies cloud natives telles que les conteneurs. Il fournit une analyse et une gestion des vulnérabilités pour des orchestrateurs tels que Kubernetes.

    Il s'agit d'une plate-forme de sécurité complète pour garantir que les applications exécutées sur les conteneurs sont sécurisées et qu'elles s'exécutent dans un environnement sûr.

    À mesure que les développeurs créent des images, ils disposent d'un ensemble de technologies et de bibliothèques pour créer leurs images. Aqua Security leur permet de scanner ces images pour s'assurer que ces images sont propres, qu'elles ne contiennent aucune vulnérabilité connue, qu'elles n'ont pas de mots de passe ou de secrets connus, et aucune sorte de menace de sécurité qui pourrait rendre cette image vulnérable .

    tableau de bord de sécurité aqua

    Si une vulnérabilité est détectée, aqua security les signale au développeur et lui recommande ce qu'il doit faire pour corriger ces images vulnérables.

    Aqua Security dispose également de technologies pour s'assurer qu'il ne soit pas attaqué ou pénétré par une menace de sécurité une fois que le conteneur est en production.

    Banc Docker

    Sécurité de Docker Bench est un script avec plusieurs tests automatisés pour vérifier les meilleures pratiques de déploiement de conteneurs en production.

    Pour exécuter la sécurité du banc docker, vous devez disposer de Docker 1.13.0 ou version ultérieure.

    Vous devez exécuter la commande ci-dessous pour exécuter la sécurité du banc docker.

    docker run -it --net host --pid host --userns host --cap-add audit_control \
    -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
    -v /var/lib:/var/lib \
    -v /var/run/docker.sock:/var/run/docker.sock \
    -v /usr/lib/systemd:/usr/lib/systemd \
    -v /etc:/etc --label docker_bench_security \
    docker/docker-bench-security

    Après cela, le script s'exécutera et partagera les détails pour INFO, WARN, PASS. Après avoir exécuté le script, vous pouvez vérifier tous les messages d'avertissement et apporter les corrections.

    sécurité de banc de docker

    Port

    Port est un registre natif cloud open source et fiable qui fournit des politiques de sécurité et un contrôle d'accès basé sur les rôles (RBAC). Il stocke, signe et analyse les images du docker pour les vulnérabilités. Il peut être installé sur un cluster Kubernetes ou sur tout autre système prenant en charge Docker.

    tableau de bord du port

    Caractéristiques du port:

    • Facilement déployable en utilisant Docker Compose
    • Fournit une analyse de sécurité et de vulnérabilité
    • Signature et validation de contenu multi-locataires
    • Intégration d'identité et contrôle d'accès basé sur les rôles
    • API extensible et interface utilisateur
    • Réplication d'image entre instances
    • Prend en charge LDAP / AD et OIDC pour la gestion des utilisateurs et l'authentification des utilisateurs

    JFrog Xray

    JFrog Xray est un outil universel d'analyse de la sécurité open source et des artefacts.

    Avec JFrog Xray, vous pouvez analyser en continu vos artefacts et dépendances à la recherche de vulnérabilités de sécurité et de problèmes de conformité de licence.

    En tant que solution universelle d'analyse des artefacts, Xray identifie de manière proactive les vulnérabilités de sécurité et les risques de licence. Avant de se manifester en production, Xray s'intègre de manière native à JFrog Artifactory, offrant une visibilité sur toutes les métadonnées d'artefact, y compris l'état de sécurité sur un seul écran.

    jfrog xray

    La base de données JFrog Xray des nouvelles vulnérabilités et technologies est en constante expansion, vous permettant de faire de meilleurs jugements techniques avec moins de compromis. Il vérifie tous vos composants par rapport à sa base de données croissante de nouvelles vulnérabilités et vous alerte de nouveaux problèmes même après la publication.

    Il prend en charge tous les types de packages et utilise une analyse récursive approfondie pour examiner toutes les couches et dépendances soulignées, même celles emballées dans des images Docker et des fichiers zip. JFrog Xray crée également un graphique de la structure de vos artefacts et dépendances et analyse de l'impact des vulnérabilités et des problèmes de licence découverts

    Qualys

    Sécurité des conteneurs Qualys est un outil utilisé pour découvrir, suivre et protéger en permanence les environnements de conteneurs. Il recherche les vulnérabilités dans les images ou les conteneurs dans le pipeline DevOps et les déploiements sur des environnements cloud ou sur site.

    Qualys fournit une version gratuite de l'application de sécurité des conteneurs pour donner aux utilisateurs un aperçu de ce qu'elle peut offrir. Il vous donne une vue des images et des conteneurs s'exécutant dans l'environnement. Si vous souhaitez les scanner, vous devez prendre leur abonnement payant.

    Il fournit également la sécurité d'exécution pour les conteneurs en donnant le niveau de fonction pare-feu pour les conteneurs. Il donne une visibilité approfondie sur le comportement des conteneurs et protège l'image et les conteneurs en cours d'exécution à l'aide de la couche Qualys CRS (Container Runtime Security).

    Analyse Docker

    Pourtant, en version bêta, Analyse Docker les leviers Synchroniser moteur et capable d'analyser le Dockerfile local, les images et ses dépendances pour trouver les vulnérabilités connues. Tu peux courir docker scan à partir de Bureau Docker.

    docker scan mydockerimage

    Conclusion

    Vous savez maintenant que le scanner de sécurité des conteneurs existe, donc aucune excuse. Allez-y et essayez de voir comment ils peuvent vous aider à garder votre application conteneurisée sûr et sécurisé.