| Anleitung | Mit der Entwicklung von Cloud- und virtuellen Technologien wird die Verwendung von Docker-Containern immer beliebter und bequemer. Viele Unternehmen haben ihre Infrastruktur von herkömmlichen physischen Maschinen auf virtualisierte Architekturen verlagert und Onlinedienste basierend auf öffentlichen Clouds, privaten Clouds und Container-Clouds erstellt. Die mit Containern verbundene Sicherheit wird immer wichtiger. |
Im Vergleich zu herkömmlichen Sicherheitsmethoden erfordern die Unterschiede in den Virtualisierungsarchitekturen völlig unterschiedliche Sicherheitsmethoden. In den frühen Phasen des Servicekonstruktionsprozesses müssen bestimmte Containersicherheitsscans verstanden und durchgeführt werden. Um die Sicherheitsanforderungen der virtualisierten Container-Cloud-Architektur zu erfüllen, werden in diesem Artikel Fehler vorgestellt, mit denen Sie einige Open Source-Sicherheitstools in der virtualisierten Cloud-Architektur und Container-Umgebung kennenlernen können.
Falco ist ein von Sysdig entwickeltes Open Source-Sicherheitsüberprüfungstool, das K8S unterstützt. Falco ist Teil der Cloud Native Computing Foundation (CNCF), die die Verhaltensüberwachung von Container-, Netzwerk- und Hostaktivitäten ermöglicht.
Falco wurde ursprünglich für das Host-Intrusion-Detection-System von Linux entwickelt, kann jedoch auch auf container.id, container.image oder den regulären Namespace des Containersystems angewendet werden, sodass das Verhalten von Docker-Containern anhand eines Containers erkannt werden kann Der Detektor kann detaillierte Einblicke in das Verhalten von Containern geben, böswilliges oder unbekanntes Verhalten erkennen und Warnungen über Protokolldatensätze und Benachrichtigungen an Benutzer senden.
Falco kann das Verhalten von Aktionen im Container verfolgen und analysieren, einschließlich Linux- Systemaufrufen. Falco verfolgt containergestützte Ereignisse, darunter:
- Shell- Code , der im Container ausgeführt wird ;
- Jeder Container, der im privilegierten Modus ausgeführt wird
- Hängen Sie einen beliebigen vertraulichen Verzeichnispfad vom Host ein (z. B. / proc).
- Versuche, vertrauliche Dateien versehentlich zu lesen (z. B. / etc / shadow);
- Verwenden Sie für ausgehende Netzwerkverbindungen beliebige Standardsystem-Binärdateien.
Sobald böswilliges Verhalten erkannt wird, z. B. die Verwendung bestimmter Systemaufrufe, bestimmter Parameter oder Attribute des aufrufenden Prozesses, kann eine Warnung an den Administrator gesendet werden.
- Aktuelle Version: 0.21.0
- Projektadresse: https://falco.org/
- Quellcode-Repository: https://github.com/falcosecurity/falco
OpenSCAP ist ein Befehlszeilen -Audit-Tool, mit dem SCAP-Dokumente gescannt , geladen, bearbeitet, überprüft und exportiert werden können. SCAP (Secure Content Automation Protocol) ist eine von NIST verwaltete Lösung zur Konformitätsprüfung der Linux-Infrastruktur der Enterprise-Klasse. Es verwendet das XCCDF (Extensible Configuration List Description Format), um den Inhalt der Liste anzuzeigen und die allgemeine Sicherheit und Konformität von Linux zu skizzieren.
OpenSCAP bietet eine Reihe von Tools für das Compliance-Management und das Scannen. Mithilfe von Tools wie oscap-docker wird das Scannen von Containerbildern unterstützt. OpenSCAP kann Benutzern auch dabei helfen, nach Konformität wie XCCDF zu suchen. Das Paket enthält auch einige andere Tools / Komponenten:
- OpenSCAP Base wird verwendet, um Konfigurations- und Schwachstellenüberprüfungen durchzuführen.
- OpenSCAP-Daemon-Dienst, der im Hintergrund ausgeführt wird;
- SCAP Workbench Eine UI-Schnittstellenanwendung, die eine bequeme Möglichkeit bietet, allgemeine Oscap-Aufgaben auszuführen.
- SCAPtimony-Middleware, die SCAP-Ergebnisse für die Benutzerinfrastruktur speichert.
- Aktuelle Version: 1.3.2
- Projektadresse: http://www.open-scap.org/
- Quellcode-Repository: https://github.com/OpenSCAP/openscap
Clair ist ein Open Source-Schwachstellenscanner und ein statisches Analysetool zur Analyse von Schwachstellen in AppC- und Docker-Containern.
Clair sammelt regelmäßig Schwachstelleninformationen aus mehreren Quellen und speichert sie in der Datenbank. Es bietet eine öffentliche API, über die der Client Anrufe ausführen und scannen kann. Benutzer können die Clair-API verwenden, um ihre Container-Images aufzulisten, eine Liste der Funktionen im Image zu erstellen und sie in der Datenbank zu speichern. Wenn die Aktualisierung der Sicherheitsanfälligkeitsmetadaten erfolgt, können Sie Warnungen / Benachrichtigungen über Webhook senden, um den vorherigen und neuen Status der Sicherheitsanfälligkeit und der betroffenen Bilder an die konfigurierten Benutzer zu senden. Da die Bereitstellung Skript ein Teil unterstützt Clair eine Vielzahl von Tools von Drittanbietern , um Scan - Bild vom Terminal entfernt . Klar zum Beispiel ist eine der guten Entscheidungen.
Die Installationsdetails des Tools sind auf GitHub verfügbar und können als Docker-Container ausgeführt werden. Es bietet auch Docker Compose-Dateien und Helm Chart, um den Installationsprozess zu vereinfachen, und kann auch aus dem Quellcode kompiliert werden.
Ziel des Clair-Projekts ist es, ein transparentes Verständnis der Sicherheit der containergestützten Infrastruktur zu fördern. Daher ist das Projekt nach einem französischen Wort benannt, das eine helle, klare und transparente englische Bedeutung hat
- Aktuelle Version: 2.0.2
- Projektadresse: https://coreos.com/clair/docs/latest/
- Quellcode-Repository: https://github.com/quay/clair
Dagda ist ein Open-Source-Tool zur statischen Analyse zur statischen Analyse bekannter Schwachstellen, Malware, Viren, Trojaner und anderer bösartiger Bedrohungen in Docker-Images oder -Containern. Dagda kann Docker-Dämonen überwachen und Docker-Container ausführen, um unregelmäßige oder ungewöhnliche Aktivitäten zu erkennen. Dieses Tool unterstützt gängige Linux-Basisimages wie Red Hat, CentOS , Fedora, Debian, Ubuntu, OpenSUSE und Alpine.
Dagda wird mit einer Docker Compose-Datei geliefert, mit der die Auswertung einfach ausgeführt werden kann. Obwohl Dagda die Überwachung von Containern unterstützt, muss es in Sysdig Falco integriert werden. Dagda unterstützt das Scannen der Containerregistrierung oder des Repositorys nicht und eignet sich besser für das manuelle Scannen bei Bedarf.
Nach der Bereitstellung von Dagda können Sie die bekannten Sicherheitsanfälligkeiten und deren Exploit-POC aus der CVS-Datenbank herunterladen und in MongoDB speichern. Anschließend werden die detaillierten Informationen der Software im Docker-Image gesammelt und mit den zuvor in MongoDB gespeicherten detaillierten Informationen verglichen, um zu überprüfen, ob jedes Produkt und seine Version frei von Sicherheitslücken sind.
Dagda kann ClamAV als Antiviren-Engine verwenden, um Trojaner, Malware, Viren und andere böswillige Bedrohungen in Docker-Containern / Images zu identifizieren.
Die Hauptzielbenutzer von Dagda sind Systemadministratoren, Entwickler und Sicherheitsexperten.
- Aktuelle Version: 0.7.0
- Quellcode-Repository: https://github.com/eliasgranderubio/dagda
Anchore Engine ist ein Open-Source-Full-Stack-Sicherheitstool von DevSecOps, mit dem Schwachstellen in Container-Images analysiert und gescannt werden können. Dieses Tool kann als Docker-Container-Image verwendet und als eigenständiges Tool installiert oder auf einer Geschäftsprozessplattform ausgeführt werden. Mit Anchore Engine können Benutzer Schwachstellen in Docker-Images identifizieren, testen und beheben, mit denen Anwendungen erstellt werden. Die Unternehmensversion von OSS bietet Richtlinienverwaltung, zusammenfassende Dashboards, Benutzerverwaltung, Sicherheits- und Richtlinienbewertungsberichte, grafische Clientsteuerelemente und andere Back-End-Module und -Funktionen.
Anchore Engine bietet Docker-Erstellungsdateien, mit denen die Docker-Container-Installation mit einem Klick erstellt werden kann. Es unterstützt Back-End- / serverseitige Komponenten und kann in Form von CLI-Tools (wie Anchore CLI oder Jenkins-Plugin) gescannt werden. Es kann auch Tags zum Warehouse hinzufügen und nach dem Hinzufügen wird die Containerregistrierung regelmäßig zur Analyse abgefragt. Benutzer können Anchore Engine auch um Plugins erweitern, die neue Abfragen, Strategien und Bildanalysen hinzufügen. Kann direkt über die RESTful-API oder die Anchore-CLI aufgerufen werden.
- Aktuelle Version: 0.7.0
- Projektadresse: https://anchore.com/
- Quellcode-Repository: https://github.com/anchore/anchore-engine
Open Source-Sicherheitstools spielen eine wichtige Rolle beim Schutz der containergestützten Infrastruktur. Wir können geeignete Tools (Kombinationen) auswählen, die auf den Geschäftsanforderungen und Prioritäten für die Sicherheitsgarantie in der Cloud-Architektur basieren: Beispielsweise können OpenSCAP und Clair für die Compliance-Analyse, Falco für Sicherheitsüberprüfungen und Dagda zur statischen Überprüfung bekannter Schwachstellen verwendet werden Analysieren und verwenden Sie Anchore für kombinierte Sicherheit. Weitere Linux-Informationen finden Sie unter: https://www.linuxprobe.com