Grafaes 能够快速获取容器元数据,这有助于加快补救安全问题,减少漏洞被暴露以及被利用的窗口期 。虽然 Grafaes 是开源的,但它是由大型软件供应商维护的,这对工具的长期支持是有好处的 。
Sysdig FalcoSysdig Falco 是一个可以提供深度容器可见性的行为活动监视工具 。
Falco 是一个 Kubernetes 感知安全审计工具,它是由 Sysdig 开发的,强调对容器、主机和网络活动的行为监视 。使用 Falco,开发人员可以对其基础设施进行持续检查、异常检测,并为任何类型的 Linux 系统调用设置警报通知 。
Falco 文档建议用户将 Falco 作为 Docker 容器运行 。你可以使用这些命令安装它 。安装完成后,Falco 警报标准输出如下所示:
?复制代码
stdout_output: enabled: true 10:20:05.408091526: Warning Sensitive file opened for reading by non-trusted program
通过 Falco 可以监视 shell 何时在容器中运行、容器在哪里挂载、对敏感文件的意外读取、出站网络尝试以及其他可疑调用 。Sysdig 提供了更多的容器故障排查资料 。
Banyanops CollectorBanyanops Collector 是一个 Docker 容器镜像静态分析框架 。
Collector 是一个 Banyanops 提供支持的开源实用程序,它可以用来查看 Docker 容器中的镜像文件 。开发人员可以使用 Collector 收集容器数据,执行安全策略等等 。
首先,Banyanops 既支持私有容器注册中心,也可以作为 Docker Hub 上的容器运行 。Banyanops 还提供 SaaS 产品,可以提供更深入的数据分析,因此,如果遇到功能受限的情况,你可能需要购买其服务 。
其他优秀开源工具
- Dockerscan:一个 Git 提交次数不多的安全漏洞扫描器 。
- Batten:一个类似于 Docker Bench 的审计工具包,但是他们提供的支持并不活跃 。
- BlackDuck Docker security:一个以 Web 服务形式构建的容器镜像安全扫描工具 。遗憾的是,目前不建议以 Web 的形式使用该产品 。
- Inspec:一个具有 Docker 容器测试功能的审核、测试框架 。
这些工具的整体强度取决于检查的深度 。有效性还取决于 CVE 数据库和基准本身是否及时进行漏洞更新并发布新的最佳实践 。值得庆幸的是,各种工具现在正在努力减少零日漏洞的利用以及容器漏洞被利用的窗口期 。
开发人员也会被那些具有更好体验的工具所吸引,这些体验更好的工具能够减少无效日志以及重复数据 。这类偏好只能通过反复试验和试错来确定,这取决于你的构建活动和个人偏好 。
推荐阅读
- Web 攻击越发复杂,如何保证云上业务高可用性的同时系统不被入侵?| 专家谈
- 新买的木床味道很刺鼻正常吗,新买的木板床有味道怎么办
- Nginx 为什么是高效服务器,架构设计是怎样的?
- 床上可以写字的小桌子一般买多高,一般写字桌子多高
- Redis-消息队列的两种实现方式
- 房屋质量鉴定找什么机构靠谱,房屋出现的质量问题如何处理
- 小型加湿器喷雾小怎么回事,小加湿器喷的雾是乳白色什么原因
- 夜与轮回的迷宫 午夜生死轮回左轮
- 女人靠自己的样子很美 什么样的男人最美
- 某php开源cms有趣的二次注入