當(dāng)前位置：新聞中心 → 行業(yè)動(dòng)態(tài) → 正文

容器安全套件Twistlock 2.1正式發(fā)布

責(zé)任編輯：editor004 作者： Hrishikesh Barua |來(lái)源：企業(yè)網(wǎng)D1Net 2017-07-28 11:28:46 本文摘自：INFOQ

Twistlock宣布正式發(fā)布其容器安全產(chǎn)品的2.1版本，主要包括一個(gè)可以獲知應(yīng)用程序流量的集成防火墻、漏洞檢測(cè)、通過(guò)集成第三方工具實(shí)現(xiàn)的秘密管理以及合規(guī)性報(bào)警和強(qiáng)制執(zhí)行。

名為云原生應(yīng)用程序防火墻（CNAF）的集成防火墻可以獲知應(yīng)用程序流量（第7層），并預(yù)防類似SQL注入這樣的已知漏洞。不過(guò)，運(yùn)行的應(yīng)用程序不同，端口和流量?jī)?nèi)容會(huì)有所差異，那么Twistlock如何支持這一特點(diǎn)？為了了解更多信息，InfoQ聯(lián)系了Twistlock首席技術(shù)官John Morello：

對(duì)于Apache、WordPress、nginx等包含廣泛動(dòng)態(tài)特性的常見應(yīng)用程序，我們有深厚的知識(shí)。不過(guò)，即使是一個(gè)我們以前沒有見過(guò)的應(yīng)用，我們也提供了核心的安全特性，如預(yù)防SQLi及XSS類型的攻擊，以及根據(jù)惡意端點(diǎn)的實(shí)時(shí)數(shù)據(jù)集過(guò)濾流入的數(shù)據(jù)。

Morello表示，對(duì)于“廣為人知”的應(yīng)用程序攻擊，端口可以事先知道。對(duì)于其他攻擊，CNAF可以“自動(dòng)確定監(jiān)聽哪個(gè)端口，并通過(guò)Twistlock Defender對(duì)流量進(jìn)行動(dòng)態(tài)地重路由，從而達(dá)到預(yù)防攻擊的目的。”

Twistlock在幾年前發(fā)布的時(shí)候集成了谷歌容器引擎（GKE），后來(lái)又和Amazon Web Services建立了合作伙伴關(guān)系。這兩家云提供商都有自己的可配置防火墻。Twistlock是在應(yīng)用程序?qū)用嫔显黾恿诉@個(gè)安全層，獲知流入流出的各種流量。Morello表示，“我們所做的任何事都沒有和任何特定的云提供商綁定”。

Twistlock還提供了漏洞檢測(cè)。漏洞數(shù)據(jù)是由30多個(gè)提供商和商業(yè)威脅源直接推送的。這些信息經(jīng)過(guò)分析聚合之后進(jìn)入到產(chǎn)品的情報(bào)流。按照Morello的說(shuō)法，由于數(shù)據(jù)直接來(lái)自一系列的提供商，所以，與其他工具相比，Twistlock的誤報(bào)率更低。還有其他的漏洞檢測(cè)工具，如vuls和Clair。當(dāng)我們問(wèn)他，Twistlock與同類其他工具相比怎么樣時(shí)，Morello從以下幾個(gè)方面作了回答。

Twistlock的數(shù)據(jù)源是來(lái)自公共漏洞列表（CVE）的數(shù)據(jù)，這比目前支撐vuls或Clair的數(shù)據(jù)源更可靠。與其中任何一種工具相比，Twistlock的誤報(bào)率都要低。Twistlock的掃描包含CI/CD工具的原生插件。它不僅會(huì)查看注冊(cè)中心里的鏡像，而且還會(huì)根據(jù)CVE發(fā)現(xiàn)中斷構(gòu)建。Twistlock還能識(shí)別和隔離受新發(fā)現(xiàn)的CVE影響的正在運(yùn)行的容器。每個(gè)檢測(cè)到的CVE都會(huì)被自動(dòng)賦予一個(gè)風(fēng)險(xiǎn)值——Twistlock會(huì)觀察環(huán)境和應(yīng)用程序，以便可以優(yōu)先處理真正的問(wèn)題。相比之下，Clair/vuls等工具只是簡(jiǎn)單的報(bào)告檢測(cè)到的CVE。Twistlock可以在CI/CD流程的各處創(chuàng)建調(diào)節(jié)閥，設(shè)定鏡像在離開開發(fā)環(huán)境進(jìn)入生產(chǎn)環(huán)境運(yùn)行之前應(yīng)該達(dá)到什么樣的安全漏洞和合規(guī)性狀態(tài)。例如，借助Twistlock，用戶可以定義類似這樣的策略，“阻止把具有中等嚴(yán)重性或較高危險(xiǎn)Java漏洞的容器部署到生產(chǎn)環(huán)境。”Twistlock的最新版本集成了秘密管理軟件，如Hashicorp的Vault和CyberArk的企業(yè)級(jí)密碼保險(xiǎn)箱，用來(lái)存儲(chǔ)密碼和其他安全令牌。這也是讓Docker Swarm秘密管理功能插件化工作的一部分，Twistlock向其貢獻(xiàn)過(guò)代碼。

該版本還有其他一些特性，包括通過(guò)Jenkins插件實(shí)現(xiàn)合規(guī)性報(bào)警，一個(gè)“集合”抽象，用于創(chuàng)建可重用的、基于正則表達(dá)式的文本過(guò)濾器，匹配項(xiàng)目和組織層次中的容器和鏡像，以及一個(gè)全新的故事板。

查看英文原文：Twistlock 2.1 Container Security Suite Released

關(guān)鍵字：Twistlock 重路由