走近Docker安全扫描器

本文是关于一款Docker安全扫描器的一般性使用介绍,其原名为Project Nautilus。它可以作为Docker云私有仓库或者Docker Hub官方仓库的扩展服务,安全扫描会为你的Docker镜像提供主动的风险管理和软件合规管理的详细安全配置信息。

Docker安全扫描在你部署之前可以对你的镜像进行二进制层面的扫描,并提供一个详细的材料清单(BOM)列出所有的层级和组件,不断监控新的漏洞,在新的漏洞出现时推送通知。

当你考虑现代软件供应链时,一个公司会在不同的时段协调一些不同的开发者和IT团队,来建立栈和基础设施,移动和运行软件。App开发团队最关心的就是尽可能快的写好软件并交付给客户。然而,软件供应链并不是以开发者结束,它还需要反复的迭代,在团队之间分享代码,在各个环境之间移动代码。Docker让app无缝移植并且通过安全平台传输,控制安全访问和安全内容。Docker安全扫描提供了深入Docker镜像内部的安全内容,包含内部组件的安全配置。这些信息在app生命周期的每个步骤都是可用的。

让我们深入Docker安全扫描的更多细节,看看它是怎么工作的吧。

Docker安全扫描与Docker云协同使用(还有Docker数据中心),在新的镜像上传到仓库时触发一系列事件。这个服务包含一个扫描触发器,扫描器,数据库,框架插件和连接到CVE数据库的验证服务。

深入查看安全配置

Docker安全扫描服务在用户上传镜像到Dokcer云端仓库时启动。扫描服务将镜像的各个层次和组件进行分离。然后组件发送给校验服务来与CVE数据库一起进行检查,不仅仅包括包名,版本,还包括二进制层面的内容扫描。

最后一步非常重要因为这个方法确保包的正确性。

一个Docker镜像是由许多层组成的,每个层都有许多组件和包,每个包都有相应的名字和版本信息。当漏洞报告给CVE数据库时,他们会跟一个包名和版本信息绑定。

许多服务都只是简单的校验一下包的名字,通过查询数据库中已有问题的方式。这样做是不够的,这不足以回答“容器中运行了什么?”。除了校验包名之外,我们对每个层级的二进制进行分析,然后匹配每个二进制的签名来确定组件和版本信息,然后查看数据库中已知漏洞的引用。这让我们能够找到标准BOM以外的其他组件(比如dpkg –l 或 yum list installed),包括任何静态链接来准确标识组件,这些组件已经发布补丁并且之前报告过漏洞。这个方法降低了误报率,因为相关的包可能已经修复了漏洞但是没有更新版本信息,同时也能防止某些人故意将一个恶意的包进行重命名。

为了提供保护,Docker安全扫描支持大部分的操作系统,包括主流的Linux发行版和windows服务器语言和二进制。

一旦所有东西扫描完成并返回结果,就会生成BOM的细节然后存储到Docker安全扫描数据库,并打上镜像的标签。对于每个扫描报告,结果发送到Docker云然后发表到UI。

持续监控并推送通知

镜像扫描能够实时提供信息。Docker安全扫描持续性的监视和通知推送来保证你的镜像安全。Dokcer安全扫描数据库存储镜像BOM的细节和每个组件的漏洞状态。当一个新的漏洞报告给CVE数据库,Docker安全扫描将会在数据库中查看那个镜像相关的包会受到影响然后推送通知邮件给管理员。

这些推送信息包含漏洞的信息,以及仓库中受影响的目标列表。通过这些信息,IT团队知道哪些软件受影响,从而可以主动进行管理,审视漏洞的严重性并快速做出决策。

整个内容生命周期的安全

Docker安全扫描是一个很棒的Docker工作流来帮助公司构建,迁移和运行安全软件。当与安全内容结合在一起,你可以确保软件的正确性,保证软件没有被篡改。例如,官方仓库从 DockerCon EU in Nov 2015 开始就使用安全扫描来获取漏洞信息,修复问题,用内容信任签名更新镜像。这一特性让Docker能够让上游可以给你提供更安全的镜像。

开始使用

Docker云的用户的私有仓库可以免费使用Docker安全扫描(次数是有限的)。如果你登录了你可以直接查看Docker官方镜像的扫描结果,不管你是不是订阅用户。安全扫描也会扩展Docker数据中心和Docker云给用户。

在Docker云使用:

为了使用这一特性,进入Account Settings >Plans然后勾选。一旦激活,每个私有仓库最常使用的3个目标都会被扫描,BOM结果将会在24小时内显示。然后,docker安全扫描会在你每次上传之后扫描你的镜像。

下面的截图展示了用户的5个私有仓库扫描结果。 Dokcer安全选项在平台的底部。

如果你有一个Docker Hub账户确没有使用过Docker云——别担心!你同样可以登录Dokcer云来工作。原生整合保证你的Docker Hub仓库展示Docker云仓库部分。私有仓库按7美元每个月,可以使用5个私有仓库,并且可以使用Docker云。

本文转自d1net(转载)

时间: 2024-11-09 00:18:41

走近Docker安全扫描器的相关文章

Scanners-Box:开源扫描器集合

本文讲的是Scanners-Box:开源扫描器集合,Scanners Box是从github平台开发的一系列开源扫描仪,包括子域枚举,数据库漏洞扫描程序,弱密码或信息泄漏扫描仪,端口扫描仪,指纹扫描仪和其他大型扫描仪,模块化扫描仪等.已知的扫描工具,如:nmap,w3af不会包含在收集范围内. 子域枚举 · https://github.com/lijiejie/subDomainsBrute (古典子域枚举工具) · https://github.com/ring04h/wydomain (通

下一代云计算模式:Docker掀个性化商业革命

从2008年开始进入公众视野,到亚马逊与微软于近期获得1亿美元的美国联邦管理局云计算合同,云计算整整走过了7年.7年间,以第一代云计算技术为基础的移动计算.社交网络.大数据等新信息技术在全球商业领域掀起了一场新商业运动,这场商业运动创造出以消费者和用户为核心的个性化商业模式. 从去年开始席卷云计算领域的Docker技术风潮,恰恰就是推动企业走近消费者和用户的一大步.本文通过深入分析,带你了解什么是Docker以及Docker将如何改变云计算,进而孵化出能够工业化生产个性化产品与服务的下一代商业模

有人说Docker Hub上三成的镜像包含漏洞?扯吗不是?

本文讲的是有人说Docker Hub上三成的镜像包含漏洞?扯吗不是,[编者的话]到底Docker Hub上是否三成的镜像存在漏洞?通过漏洞计算发现确实有高比例漏洞,对于管方镜像遵循Docker的安全指南,如若是自创建镜像,可找源仓库或自行处理.但我们发现,这些漏洞中大部分是老镜像.面对漏洞镜像,我们可以采取本地措施,还可用Web安全审查进行检查,如果想让Docker更加安全,建议用dockerbench来评估.文中额外阐述了容器究竟有什么用. 这个数字太神奇了!并不是因为这个比例过高或者过低,而

探索本地Docker桥接网络

本文讲的是探索本地Docker桥接网络,[编者的话]本文主要介绍了Docker的基础网络知识,作者通过容器与MongoDB实例的连接的小实验探索了Docker的网路知识以及其中的一些问题. 我正在写<Docker in Action>(译者注:此书的样章可以在这里查看)第五章,内容有关Docker的容器连接与网络配置.最近一直在关注Docker的其它几个部分,我也重新熟悉了容器连接并深入研究了网络. 本文不会赘述我们已经熟悉的网络桥接.但是我猜很多使用Docker的开发者仍然不熟悉这部分内容,

有人说Docker Hub上三成的镜像包含漏洞?是吗?

到底Docker Hub上是否三成的镜像存在漏洞?通过漏洞计算发现确实有高比例漏洞对于官方镜像遵循Docker的安全指南如若是自创建镜像可找源仓库或自行处理.但我们发现这些漏洞中大部分是老镜像.面对漏洞镜像我们可以采取本地措施还可用Web安全审查进行检查如果想让Docker更加安全建议用dockerbench来评估.文中额外阐述了容器究竟有什么用. 这个数字太神奇了!并不是因为这个比例过高或者过低而是因为居然存在这个比例.既然存在(相对容易地)计算出这个比例的可能性也就意味着存在(相对容易地)改

公开仓库中Docker镜像的漏洞分析结果发布

Federacy的一名研究人员发布了一项报告,该报告分析了公开仓库中Docker镜像的漏洞.24%的镜像发现了明显的漏洞,其中基于Ubuntu的镜像漏洞最多,而基于Debian的镜像漏洞最少. 这项研究扫描了133个公开Docker仓库中的91个,其中每个仓库都有一个添加'latest'标记的镜像,底层的镜像是一个主Linux分发版本并且带有可运行的包管理器.这里,使用了一个修改过的vuls开源漏洞扫描器来扫描镜像.vuls是用Go语言编写的,支持Linux和FreeBSD.数据是通过Feder

关于初学者对于docker的一些。。理解

有错希望指正.. 我的目的:能一键部署需要的服务和功能 现在有了目的..其实是朋友告诉我这东西可以快速部署环境觉得比我那样一次次搞方便 然后我就是一个0基础的小白新手了..反正我也是刚刚毕业需要学习这些东西虽然公司只是传统行业用不上..但是总会跳到我想要的互联网环境的.. 首先,我知道了docker的镜像每次启动都会产生一个容器,就算是同一个镜像启动两次也会产生两个容器..而且在前一个容器的操作关闭后再次打开这个镜像..又还原了..想保存你对容器的修改就要用到docker commit <容器i

谈谈 Docker Volume 之权限管理(一)

Volume数据卷是Docker的一个重要概念.数据卷是可供一个或多个容器使用的特殊目录,可以为容器应用存储提供有价值的特性: 持久化数据与容器的生命周期解耦:在容器删除之后数据卷中的内容可以保持.Docker 1.9之后引进的named volume(命名文件卷)可以更加方便地管理数据卷的生命周期:数据卷可以被独立地创建和删除. 数据卷可以用于实现容器之间的数据共享 可以支持不同类型的数据存储实现 Docker缺省提供了对宿主机本地文件卷的支持,可以将宿主机的目录挂载到容器之中.由于没有容器分

【深度】阿里Docker服务开发中的5大挑战与经验沉淀

核心专家的深度分享! 阿里云资深技术专家 易立(微垣) 易立,阿里资深专家,目前负责阿里云容器技术相关的产品的研发工作.易立毕业于北京大学,获得学士和硕士学位:加入阿里之前,曾在IBM中国开发中心工作14年,担任资深技术专员,作为主要架构师负责IBM企业平台云产品线PureApplication System的研发工作:还作为架构师.主要开发人员负责和参与了一系列IBM在Web 2.0,SOA中间件的研发和创新,也曾为全球客户提供SOA技术咨询和项目实施. 以下是采访实录: 请介绍下阿里云容器服