網(wǎng)絡(luò)安全問(wèn)題的重要性大概毋庸置疑，最近無(wú)數(shù)關(guān)于惡意軟件和安全漏洞的消息已充分證明了這一點(diǎn)。

假如你要管理一個(gè)Docker環(huán)境，并希望幫助自己的公司或用戶在下一個(gè)大漏洞來(lái)臨時(shí)避免遇到麻煩，那么你就需要了解一些保障Docker應(yīng)用安全的工具，并真正地去使用它們。本文將介紹可供使用的Docker安全工具(包括了來(lái)自Docker原生的安全工具以及第三方安全工具)。

Docker Benchmark for Security

你首先需要了解的Docker安全工具之一就是 Docker Benchmark for Security 。Docker Benchmark for Security是一個(gè)簡(jiǎn)單的腳本，它可以測(cè)試并確保你的Docker部署遵守已有的的安全***實(shí)踐(security best practices)。

Docker Benchmark for Security能夠如此實(shí)用的原因之一是，它所參照的***實(shí)踐基于的是各領(lǐng)域、各職位的行業(yè)專家所達(dá)成的共識(shí)。咨詢?nèi)藛T、軟件開發(fā)人員以及安全和執(zhí)行方面的專家針對(duì)***實(shí)踐的建立都貢獻(xiàn)過(guò)寶貴觀點(diǎn)及經(jīng)驗(yàn)。你可以在 Center for Internet Security (互聯(lián)網(wǎng)安全中心)找到關(guān)于***實(shí)踐和其背后原因的完整描述。

CoreOS Clair

CoreOS Clair 是專門為Docker容器設(shè)計(jì)的漏洞掃描引擎。這個(gè)基于API的掃描引擎可以查看每個(gè)容器層，搜索并報(bào)告已知的漏洞。

CoreOS Clair有兩個(gè)主要的使用場(chǎng)景。首先，針對(duì)那些并非由你親自創(chuàng)建的鏡像，Clair可以做充分的檢查。例如，如果你從互聯(lián)網(wǎng)下載鏡像，鏡像的安全性就很難保證。CoreOS Clair可以幫助你做出判斷。它的第二個(gè)使用場(chǎng)景是，當(dāng)你正在使用的不安全軟件時(shí)，CoreOS Clair可以阻止和/或提醒你。

Docker Security Scanning

Docker Security Scanning 是另一個(gè)可為Docker進(jìn)行安全漏洞掃描的工具。而且，它不僅僅是一個(gè)單純的掃描引擎，以下幾點(diǎn)同樣值得注意：

首先，Docker Security不局限于掃描Docker容器，該工具還會(huì)檢查Docker安裝安全問(wèn)題。此外，它能夠掃描本地和遠(yuǎn)程兩部分的安裝。

另一個(gè)值得一看的一點(diǎn)是，Docker Security基于插件使用。這些插件使得Docker Security有很強(qiáng)的擴(kuò)展性，因此隨著該工具的不斷完善，更多的功能將會(huì)添加進(jìn)去。插件可以簡(jiǎn)易編寫，因此使用它的團(tuán)隊(duì)可以為實(shí)現(xiàn)自己的需求創(chuàng)建插件。

Drydock

Drydock的設(shè)計(jì)功能類似于Docker Benchmark for Security，不過(guò)在使用上更加靈活。和Docker Benchmark相似，Drydock是Docker的安全審核工具。而Drydock的獨(dú)特之處在于，Drydock允許它的用戶創(chuàng)建自定義的審核配置文件。這些配置文件可消除生成報(bào)告(噪聲警報(bào))中那些引起大量雜亂的審核，從而調(diào)整審核過(guò)程。此外它還可用于停用和環(huán)境無(wú)關(guān)、會(huì)產(chǎn)生虛假警報(bào)的審核測(cè)試。

和其他容器安全工具不同，使用Drydock創(chuàng)建自定義配置文件非常容易。該工具有一個(gè)內(nèi)置的配置文件，包含了所有將要執(zhí)行的審核測(cè)試，通過(guò)添加注釋你就可以控制需要執(zhí)行的檢查。

你可以在 Github 上下載到Drydock

Twistlock

Twistlock 是Docker的另一個(gè)安全審核工具。和其他解決方案不同的是它是一種商業(yè)應(yīng)用，提供了一個(gè)免費(fèi)的開發(fā)版和一個(gè)有許可的企業(yè)版。

Twistlock掃描容器棧中的每一個(gè)單獨(dú)層，并能夠使用內(nèi)容指紋技術(shù)識(shí)別各種組件以及可能與這些組件相關(guān)聯(lián)的漏洞。

Twistlock企業(yè)版使用了機(jī)器學(xué)習(xí)來(lái)幫助識(shí)別漏洞，此外還提供了自動(dòng)化策略創(chuàng)建和執(zhí)行功能。免費(fèi)的開發(fā)者版本和企業(yè)版有很多相似之處，但開發(fā)者版需要手動(dòng)創(chuàng)建策略，依賴于社區(qū)的支持，而它也限制了只有10個(gè)倉(cāng)庫(kù)和兩臺(tái)主機(jī)。

總結(jié)

Docker在逐漸發(fā)展成熟，也被越來(lái)越多的企業(yè)投入使用，因此，確保Docker環(huán)境的安全也變得越來(lái)越重要。所幸的是，現(xiàn)有的一系列工具——包括免費(fèi)版和商業(yè)版，都可以幫助你更好地維護(hù)Docker應(yīng)用(如Deepfence、NeuVector和Anchore)的安全。