本文是關于一款Docker安全掃描器的一般性使用介紹,其原名為Project Nautilus。它可以作為Docker云私有倉庫或者Docker Hub官方倉庫的擴展服務,安全掃描會為你的Docker鏡像提供主動的風險管理和軟件合規(guī)管理的詳細安全配置信息。
Docker安全掃描在你部署之前可以對你的鏡像進行二進制層面的掃描,并提供一個詳細的材料清單(BOM)列出所有的層級和組件,不斷監(jiān)控新的漏洞,在新的漏洞出現(xiàn)時推送通知。
當你考慮現(xiàn)代軟件供應鏈時,一個公司會在不同的時段協(xié)調一些不同的開發(fā)者和IT團隊,來建立棧和基礎設施,移動和運行軟件。App開發(fā)團隊最關心的就是盡可能快的寫好軟件并交付給客戶。然而,軟件供應鏈并不是以開發(fā)者結束,它還需要反復的迭代,在團隊之間分享代碼,在各個環(huán)境之間移動代碼。Docker讓app無縫移植并且通過安全平臺傳輸,控制安全訪問和安全內(nèi)容。Docker安全掃描提供了深入Docker鏡像內(nèi)部的安全內(nèi)容,包含內(nèi)部組件的安全配置。這些信息在app生命周期的每個步驟都是可用的。
讓我們深入Docker安全掃描的更多細節(jié),看看它是怎么工作的吧。
Docker安全掃描與Docker云協(xié)同使用(還有Docker數(shù)據(jù)中心),在新的鏡像上傳到倉庫時觸發(fā)一系列事件。這個服務包含一個掃描觸發(fā)器,掃描器,數(shù)據(jù)庫,框架插件和連接到CVE數(shù)據(jù)庫的驗證服務。
深入查看安全配置
Docker安全掃描服務在用戶上傳鏡像到Dokcer云端倉庫時啟動。掃描服務將鏡像的各個層次和組件進行分離。然后組件發(fā)送給校驗服務來與CVE數(shù)據(jù)庫一起進行檢查,不僅僅包括包名,版本,還包括二進制層面的內(nèi)容掃描。
最后一步非常重要因為這個方法確保包的正確性。
一個Docker鏡像是由許多層組成的,每個層都有許多組件和包,每個包都有相應的名字和版本信息。當漏洞報告給CVE數(shù)據(jù)庫時,他們會跟一個包名和版本信息綁定。
許多服務都只是簡單的校驗一下包的名字,通過查詢數(shù)據(jù)庫中已有問題的方式。這樣做是不夠的,這不足以回答“容器中運行了什么?”。除了校驗包名之外,我們對每個層級的二進制進行分析,然后匹配每個二進制的簽名來確定組件和版本信息,然后查看數(shù)據(jù)庫中已知漏洞的引用。這讓我們能夠找到標準BOM以外的其他組件(比如dpkg –l 或 yum list installed),包括任何靜態(tài)鏈接來準確標識組件,這些組件已經(jīng)發(fā)布補丁并且之前報告過漏洞。這個方法降低了誤報率,因為相關的包可能已經(jīng)修復了漏洞但是沒有更新版本信息,同時也能防止某些人故意將一個惡意的包進行重命名。
為了提供保護,Docker安全掃描支持大部分的操作系統(tǒng),包括主流的Linux發(fā)行版和windows服務器語言和二進制。
一旦所有東西掃描完成并返回結果,就會生成BOM的細節(jié)然后存儲到Docker安全掃描數(shù)據(jù)庫,并打上鏡像的標簽。對于每個掃描報告,結果發(fā)送到Docker云然后發(fā)表到UI。
持續(xù)監(jiān)控并推送通知
鏡像掃描能夠實時提供信息。Docker安全掃描持續(xù)性的監(jiān)視和通知推送來保證你的鏡像安全。Dokcer安全掃描數(shù)據(jù)庫存儲鏡像BOM的細節(jié)和每個組件的漏洞狀態(tài)。當一個新的漏洞報告給CVE數(shù)據(jù)庫,Docker安全掃描將會在數(shù)據(jù)庫中查看那個鏡像相關的包會受到影響然后推送通知郵件給管理員。
這些推送信息包含漏洞的信息,以及倉庫中受影響的目標列表。通過這些信息,IT團隊知道哪些軟件受影響,從而可以主動進行管理,審視漏洞的嚴重性并快速做出決策。
整個內(nèi)容生命周期的安全
Docker安全掃描是一個很棒的Docker工作流來幫助公司構建,遷移和運行安全軟件。當與安全內(nèi)容結合在一起,你可以確保軟件的正確性,保證軟件沒有被篡改。例如,官方倉庫從 DockerCon EU in Nov 2015 開始就使用安全掃描來獲取漏洞信息,修復問題,用內(nèi)容信任簽名更新鏡像。這一特性讓Docker能夠讓上游可以給你提供更安全的鏡像。
開始使用
Docker云的用戶的私有倉庫可以免費使用Docker安全掃描(次數(shù)是有限的)。如果你登錄了你可以直接查看Docker官方鏡像的掃描結果,不管你是不是訂閱用戶。安全掃描也會擴展Docker數(shù)據(jù)中心和Docker云給用戶。
在Docker云使用:
為了使用這一特性,進入Account Settings >Plans然后勾選。一旦激活,每個私有倉庫最常使用的3個目標都會被掃描,BOM結果將會在24小時內(nèi)顯示。然后,docker安全掃描會在你每次上傳之后掃描你的鏡像。
下面的截圖展示了用戶的5個私有倉庫掃描結果。 Dokcer安全選項在平臺的底部。
其可以為所有的私有倉庫提供三個月的免費服務。
如果你有一個Docker Hub賬戶確沒有使用過Docker云——別擔心!你同樣可以登錄Dokcer云來工作。原生整合保證你的Docker Hub倉庫展示Docker云倉庫部分。私有倉庫按7美元每個月,可以使用5個私有倉庫,并且可以使用Docker云。
京公網(wǎng)安備 11010502049343號