網絡安全的重要性是毋庸置疑的，無數有關惡意軟件和安全漏洞之類的新聞也不斷證實此論斷。如果你正在管理Docker環境，并且希望避免可能存在的重大漏洞，那么你需要知道一些必要的工具來保護你的Docker環境。本文介紹的應用于Docker的安全工具，其中既包含既來自Docker本身工具，也包括第三方安全工具。

電子書Continuous Integration and Deployment with Docker and Rancher ［1］可以引導你將容器整合到CI/CD pipeline。盤點的第一個Docker安全工具就是Docker Benchmark for Security ［2］，它是一個簡單的腳本程序，可以核查的Docker部署配置，以確保Docker的配置遵循最佳的安全實踐。Docker Benchmark for Security有用的最重要原因之一是，它的開發是基于各行業、各職位專家所達成的共識。咨詢人員、軟件開發人員以及安全和執行方面的專家針對最佳實踐的建立都貢獻過寶貴觀點及經驗。讀者可以在Center for Internet Security ［3］中查找更詳細的描述。

CoreOS ClairCoreOS Clair ［4］是一個專為Docker容器而設計的漏洞掃描引擎，這個基于API的掃描引擎查看每個容器層，然后搜索并報告掃描到的漏洞。CoreOS Clair有兩個主要的用例，其一，CoreOS Clair 對于檢查非自己創建的鏡像很有用。例如，對于從網絡上下載的鏡像，很難確定該圖像是否安全可用，CoreOS Clair 可以用來檢測此類鏡像的安全。其二，CoreOS Clair 可以用來阻止和/或警告用戶正在使用的軟件是否安全。

Docker Security Scanning

Docker Security Scanning ［5］是Docker的另一個安全漏洞掃描工具。它不僅僅是一個單純的掃描引擎，與此工具有關的一些事情值得關注。首先，Docker安全性不限于Docker容器的掃描，Docker Security Scanning還可以檢查Docker安裝安全方面所存在的問題。其次，Docker Security Scanning還可以掃描本地和遠程兩個方面的Docker安裝。最后，Docker Security Scanning基于插件的應用程序，這些插件使Docker Security Scanning 易于擴展，因此隨著該工具的不斷完善，更多的功能將會添加進去。插件可以簡易編寫，因此使用它的團隊可以為實現自己的需求創建插件。

DrydockDrydock ［6］是功能類似于Docker Benchmark for Security并且使用更加靈活的工具。與Docker Benchmark for Security一樣，Drydock是Docker的安全審核工具。Drydock之所以如此獨特，是因為它允許其用戶創建自定義審核配置文件。這些配置文件可消除生成報告（噪聲警報）中那些引起大量雜亂的審核，從而調整審核過程。此外它還可用于停用和環境無關、會產生虛假警報的審核測試。與其他一些可用工具不同，Drydock使創建自定義配置文件變得異常容易。該工具包括一個內置配置文件，該配置文件包含將要執行的所有審核測試，包含了所有將要執行的審核測試，通過添加注釋你就可以控制需要執行的檢查。

Twistlock

Twistlock ［7］是Docker的另一個安全審核工具。與其他解決方案不同的是，Twistlock是商業應用程序，提供了一個免費的開發版Developer Edition和一個有許可的企業版Enterprise Edition。Twistlock掃描容器棧中的每一個單獨層，并能夠使用內容指紋技術識別各種組件以及可能與這些組件相關聯的漏洞。Twistlock企業版使用了機器學習來幫助識別漏洞，此外還提供了自動化策略創建和執行功能。免費的開發者版本和企業版有很多相似之處，但開發者版需要手動創建策略，依賴于社區的支持，而它也限制了只有10個倉庫和兩臺主機。

結論

隨著Docker的成熟并投入生產，因此，確保Docker環境的安全也變得越來越重要。幸運的是，可以使用包括免費和商業選項在內的一系列工具來幫助強化Docker的安全。

原文標題：容器安全工具盤點

文章出處：【微信公眾號：FPGA之家】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq

云原生