7个用于Docker和Kubernetes防护的安全工具（docker安全性有哪些）

这些超强工具为开发和生产中的容器带来了监控，审计，运行时防御和基于策略的控制。

　　Docker容器可帮助软件开发人员更快地构造利用程序并更灵活地部署它们，容器还可以帮助开发人员使软件更安全。

　　自动分析软件组件进入容器，跨容器集群和多个利用程序版本的行动策略，和跟踪和管理漏洞数据的创新发展，这些只是容器在全部利用程序生命周期中提高安全性的一些方式。

　　虽然如此，其中有多少是开箱即用的?这是另外一回事，Docker和容器管理系统(如Kubernetes)提供了基础，将更高级的安全监控留给第3方工具。

　　以下是7个最近改进的容器安全产品和服务，它们在云和你自己的数据中心中为容器提供漏洞检测，合规性检查，白名单，防火墙和运行时保护等功能。

　　Aporeto

　　Aporeto专注于运行时保护，类似于下面讨论的NeuVector产品。该公司提供微服务安全产品以保护Kubernetes工作负载和云网络防火墙系统，以保护在散布式环境中运行的利用程序。

　　经过Kubernetes工作负载，Aporeto可以保护本地和托管环境(举例来看，Google Kubernetes Engine)。为每一个创建的资源分配一个服务标识，用于确保利用程序周围的信任链不被破坏。除其他外，服务标识用于强迫声明的利用程序行动，不管利用程序的pod实际存在于何处。

　　Aqua容器安全平台

　　Aqua容器安全平台为Linux容器和Windows容器提供合规性和运行时安全性。

　　端到端容器安全管理器允许管理员将安全策略和风险配置文件利用于利用程序，并将这些配置文件与不同的利用程序构造管道相干联， 镜像扫描可以与构造和CI/CD工具集成。

　　Aqua容器安全平台还允许管理员使用利用程序上下文在运行时为利用程序分割网络。Aqua平台与Hashicorp Vault等秘密管理工具配合使用，它支持Grafeas API，用于访问软件组件中的元数据。Aqua平台可以记录它在利用程序的Grafeas商店中发现的任何漏洞信息，Aqua策略可以利用Grafeas定义内涵数据来处理安全事件和软件问题。

　　Aqua Container Security Platform可用于本地或云端部署。免费试用版或开源版本不可用，但Aqua已发布了许多源自该平台的开源工具。

　　Atomic Secured Docker

　　Atomic Secured Docker是Ubuntu，CentOS和Red Hat Enterprise Linux的替换Linux内核，它利用一些强化策略来抵消潜伏的攻击。许多保护措施，如用户内存的强化权限，都来自Atomicorp的安全内核产品系列。其他产品，如容器创新保护，专为Docker设计。

　　可经过直接购买取得Atomic Secured Docker，AWS和Azure市场中提供了AWS托管的CentOS和Azure托管的CentOS和Ubuntu的版本。

　　NeuVector

　　NeuVector旨在保护全部Kubernetes集群。它适用于现有的Kubernetes管理解决方案，如Red Hat OpenShift和Docker Enterprise Edition，旨在保护部署的所有阶段的利用程序，从开发(经过Jenkins插件)到生产。

　　与此处的许多其他解决方案一样，NeuVector作为容器部署到现有的Kubernetes集群中，而不是经过修改现有代码。将NeuVector添加到群集时，它会发现所有托管容器并生成详细说明连接和行动的映照。检测并斟酌由利用程序升级或下降引发的任何更改，以便对要挟(包括容器创新或新漏洞)的实时扫描依然行之有效的。

　　Sysdig Secure

　　Sysdig Secure提供了一组工具，用于监视容器运行时环境并从中获得取证。Sysdig Secure旨在与Sysdig的其他仪器工具(如Sysdig Monitor)一起运行。

　　可以针对每一个利用程序，每一个容器，每一个主机或每一个网络活动设置和实行环境策略。 Sysdig Secure跟踪的任何事件都可以经过主持人或容器或经过调和器(通常是Kubernetes)的镜头来查看。可以记录和检查每一个容器的命令历史记录，并且可以以类似于Twistlock的“事件探索器”功能的方式记录和回放全部群集中的常规取证。

　　Tenable.io Container Security

　　Tenable.io Container Security专注于为DevOps团队提供在构造进程中对容器安全性的可见性，而不是在生产进程中。

　　在构造时扫描容器镜像以查找歹意软件，漏洞和策略合规性。如果镜像或镜像中的任何元素抛出红色标记，开发人员会收到问题的性质及其确切位置的通知，举例来看，多层镜像的特定层，因此可以修复快捷下一次推动。

　　Tenable.io Container Security适用于大多数常见的CI/CD构造系统和容器镜像注册表，并提供所有正在运行的容器镜像，策略实行状态和存储库行动确当前状态的仪表板视野。

　　Twistlock

　　Twistlock为Docker Enterprise等“关键”容器产品未涵盖的容器添加了许多安全控制。其中一些功能包括：

　　合规性控制，用于对容器实行HIPAA和PCI规则。

　　对Jenkins等构造工具的合规性警报。

　　针对云原生利用程序进行防火墙。

　　基于行之有效的和无效容器行动分析的容器运行时攻击保护。

　　支持Kubernetes的CIS基准测试，以即可以针对保护Kubernetes的一系列通用标准检查Kubernetes管理的部署。

　　2018年8月发布的Twistlock 2.5增加了新的取证分析技术，可以减少运行时开消(举例来看，将事件前和事件后容器状态信息存储在容器本身以外);用于映照命名空间，pod和容器的实时可视化工具的增强功能;无服务器计算系统的防御和防御。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。