0x00 背景
镜像是容器的最基础的载体,docker作为最流行的容器runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像的安全就决定了容器安全。
但现实不乐观,在docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像没有漏洞。镜像在构建过程中会安装依赖组件,这些组件存在大量漏洞,而这仅仅是基础运行环境的软件漏洞。
对于镜像的安全控制可以在三个地方:
1、构建时,在使用持续集成平台自动构建后,拿jenkins来举例说明,当镜像构建完成后,对构建的镜像进行漏洞扫描,如果出现策略不允许出现的安全漏洞,中断流程,达到安全控制。
2、存储时,在镜像仓库中对上传的镜像进行漏洞扫描,发现安全问题,禁止拉取。
3、运行时,在镜像拉取到主机节点,启动时扫描镜像漏洞,禁止镜像运行。
所以,镜像安全问题最好在持续集成过程中和镜像仓库中解决。
0x01 工具推荐
小佑科技免费扫描器harbor-scanner
- 简介:小佑科技的Harbor-scanner是唯一支持中文漏洞库扫描器,将其商业版的镜像扫描部分功能免费出来,安装包包含了在版本发布时的全部最新漏洞库,其中包括最新的CNNVD中文漏洞库,用户无需联网也可以获取到比较新的漏洞库,同时产品支持实时在线更新漏洞库。
- 工具连接:https://github.com/goharbor/harbor
- 使用成本:免费
CoreOS官方推出的容器静态安全漏洞扫描工具Clair
- 简介:Clair旨在识别和分析Docker和appc应用程序容器中的漏洞。定期从定制和配置的源组中提取容器漏洞元数据,以识别容器映像(包括上游的容器映像)中的威胁。
- 工具链接:https://github.com/quay/clair
- 使用成本:免费
Anchore以最早支持应用框架漏洞扫描闻名
- 简介:Anchore以最早支持应用框架漏洞扫描闻名,Anchore Engine是一个开源项目,可为容器图像的检查,分析和认证提供集中式服务。 Anchore Engine作为Docker容器映像提供,可以独立运行,也可以在业务流程平台(例如Kubernetes,Docker Swarm,Rancher,Amazon ECS和其他容器业务平台)中运行。
- 工具链接:https://github.com/anchore/anchore-engine
- 使用成本:免费
Docker Bench for Security
- 简介:https://www.cnblogs.com/Hi-blog/p/docker-bench-security.html)Docker Bench for Security是一个可以在任何Docker主机上运行的预构建包装容器。它是一组应该作为root用户运行的Bash shell脚本。在生产中常见的测试检查部署Docker容器的最佳安全实践。
- 工具链接:https://github.com/docker/docker-bench-security
- 使用成本:免费
Docker Notary
- 简介:Notary是一个开源的Docker项目,提供数据收集的安全性。运行Notary服务来发布和管理任意内容。对发布的集合进行数字签名,并允许用户验证内容的完整性和来源。
- 工具链接:https://github.com/docker/notary
- 使用成本:免费
Twistlock
- 简介:Twistlock Security Suite旨在解决基于容器的应用程序过程中的安全问题。这是一个端到端的安全解决方案,通过增加Docker容器工作方式的监控层来检测漏洞。Twistlock使应用程序生命周期中的容器映像变得更加坚固。
- 工具链接:https://www.twistlock.com/
- 使用成本:软件定价基于选定的订阅和基础设施选项
Aqua Security 以最早支持应用框架漏洞扫描闻名
- 简介:Trivy 是一个简单而且功能完整的容器漏洞扫描工具,特别使用用于持续集成,可以在任何平台上运行,通过提供全堆栈安全来保护基于容器的应用程序。
- 工具链接:https://github.com/aquasecurity/trivy
- 使用成本:定价是选定软件计划费用加上所需虚拟机的Azure基础架构成本的组合
0x02 docker安全架构
0x3 参考文章
https://blog.csdn.net/qq_29277155/article/details/88358863