容器生态系统_导航容器安全生态系统

最新推荐文章于 2024-07-26 12:28:02 发布
最新推荐文章于 2024-07-26 12:28:02 发布
阅读量91 收藏
点赞数
文章标签: java 人工智能 大数据 区块链 python
原文链接:https://opensource.com/article/18/5/navigating-container-security-ecosystem
版权

容器生态系统

SJ TechnologiesSonatype合作进行了DevSecOps社区2018调查。 这项调查非常受欢迎,收到了代表不同行业,发展实践和责任的2,000多名受访者的答案。 三分之一的受访者(33%)来自技术行业,而银行和金融服务是第二大代表群体(15%)。 所有受访者中有70%使用的是容器注册表。 由于有如此多的受访者使用容器,因此有必要更深入地研究容器的安全性。

数字不说谎

查看同比数据,报告使用容器和应用程序安全工具的受访者比例增加了一倍 。 2017年,只有23%的人拥有工具,而2018年为56%。容器安全正Swift成为标准化和简化的成熟部分。 考虑到Kubernetes的爆炸性增长以及在过去的一年中创建了新的容器运行时,这不足为奇。

令人惊讶的是,大多数组织都使用多个容器注册表。 大多数受访者使用私有Docker注册表,然后使用AWS ECR和Sonatype Nexus。 红帽OpenShift和Jfrog Artifactory也得到了很好的体现。 可以想象可以使用多种方式来使用容器注册表。 但是某些注册表与其他注册表有很大不同。 如果不仔细考虑,与许多注册管理机构一起实施安全工具可能会导致复杂的流程。 值得庆幸的是,大多数注册管理机构都实现了允许这样做的通用API。

容器要求的安全性不同于VM。
当被问及“您是否利用安全产品来识别容器中的漏洞?” 几乎一半的受访者回答说,他们使用安全工具来识别容器中的漏洞。 仅考虑自认为属于“成熟DevOps流程”一部分的受访者的结果时,几乎三分之二的人正在扫描容器中的漏洞。 另有25%的人正在评估容器安全工具。 然而,所有受访者中有四分之一表示他们还没有解决方案来识别容器中的漏洞。 鉴于最近的违规行为,这有些令人恐惧。

这里可能有两个阵营:第一个阵营可能是使用标记为“最新”的容器的团队,或者是从假定的修补上游不断拉动的团队。 这不是一个好习惯,因为组织信任上游为他们提供安全保护。 第二个更可能的阵营包括那些没有解决方案来识别容器中的漏洞的组织。 如果采用了容器,则不扫描它们的漏洞会在安全流程中留下类似自卸车的漏洞。

固定容器

关于容器安全性,存在一些常见的误解。 Aqua Security的 Liz Rice指出:“我最常见的误解是容器比虚拟机更像虚拟机,然后对它们提供给您的隔离级别感到失望。”

流程:更新图像而不是打补丁

容器的寿命应比传统VM的寿命短得多。 容器应被视为不变的基础设施。 这既是思想转变,又是基础架构的变化。 容器不应打补丁; 应该重新创建它们。 更新容器映像并重新部署所有受影响的容器是如何最好地应用容器安全性的方法。 如果管道构建正确,则此过程可能就像更改配置文件中的标记一样简单。

扫描正在运行的容器中的漏洞至关重要。 但是,作为DevSecOps的从业者,总是向左移动。 扫描容器注册表中的易受攻击图像也是一项关键功能。 还应通过版本控制操作扫描容器。 容器应轻巧到足以在每个接触点进行扫描。 如果有可用的工具来检查在开发环境中运行的易受攻击的容器,请使用它! 尽早扫描并经常扫描。

用于容器安全性和扫描的开源工具

容器安全工具生态系统持续增长。 构建容器安全工具集时要牢记的一件事:目前没有正确的方法。 开发管道基于业务需求。 实施容器安全工具将需要同等的思想水平。

有许多开放源代码工具可用来帮助锁定容器,而本文中我们将不介绍所有这些工具。 但是,如果不讨论一些工具,这将不是有用的文章。 强烈建议使用AppArmor和seccomp之类的工具。 两者都是Linux内核的组件,并提供合理的默认值。 AppArmor将强制访问控制应用于正在运行的程序(例如Docker本身)。 Seccomp限制容器内可用的操作(系统调用)。 如果容器受损,AppArmor和seccomp将为系统和容器提供最小的可行保护。 两者都不会告诉您某个软件包含漏洞。

几个容器注册表提供了一种扫描工具。 但是,如果那些人不削减,还有其他选择。 CoreOS提供了一个名为Clair的工具,这是一个开源项目,用于静态分析appc和Docker容器中的漏洞。 Sysdig Falco是一种行为活动监视器,旨在检测应用程序中的异常活动。 Dagda (包含Sysdig Falco)是一种工具,可对Docker映像/容器中的已知漏洞,木马,病毒,恶意软件和其他恶意威胁进行静态分析。 除操作系统外,还有针对Docker和Kubernetes的CIS基准测试 。 这些只是少数开源工具。 有许多工具可用来帮助保护容器和容器环境。

结论

今年的DevSecOps社区调查的结果表明,容器的采用将继续增长。 随着越来越多的容器进入生态系统,对可见性的需求将会增加。 诸如Kubernetes之类的容器编排工具将被用来帮助管理其中的一些需求。 随着更多软件被集成到生态系统中,更多的自动化将使管理的挑战性降低。 将安全工具自动化到基于容器的工作流中将成为每个主要组织的安全态势的关键部分。 记住,总是向左移动。

本文最初在 SJ Technologies博客 上发布,并经许可重新发布。

[请参阅我们的相关故事, 仅对root(在容器中)说不 ]

翻译自: https://opensource.com/article/18/5/navigating-container-security-ecosystem

容器生态系统

cumo3681
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes Tools Ecosystem Kubernetes工具生态系统
01-04
Kubernetes(简称K8s)作为一个强大的容器编排系统,已经构建了一个庞大的工具生态系统,以支持其在云原生环境中的广泛使用。这个生态系统包括了各种软件、插件和工具,旨在提升Kubernetes的易用性、自动化程度、...
kubernetes生产级别的容器编排系统-其他
06-12
你应该充分利用不断成长的部署方案生态系统。 服务发现与负载均衡 无需修改你的应用程序即可使用陌生的服务发现机制。Kubernetes 为容器提供了自己的 IP 地址和一个 DNS 名称,并且可以在它们之间实现负载均衡。 ...
《2018年11月8日 -容器生态分享会》
谦190的博客
11-08 257
1. 容器生态介绍 基本概念 ​ 说到容器技术,大家都想到docker,可能认为容器就是docker,docker也是容器。其实,docker仅仅是一种容器的引擎。除了docker以外,还有CoreOS的RKT,还有linux的容器技术LXC等。而docker是这些容器引擎技术中最为成熟的技术。当我们谈到容器,不得不说的是虚拟机,例如:VMware,VirtualBox等,虚拟机是基于硬件的虚...
容器安全隐患和解决之道
weixin_37098404的博客
08-19 584
Docker容器技术发展如火如荼,相关的安全技术也在不断往前推进,我们也一直在探索容器技术应用与安全的问题,今天给大家分享《容器安全隐患和解决之道》,希望能给大家带来一...
docker(1)——容器生态系统
学习学习再学习
07-02 753
    首先得对容器有个整体的认识,之后我们学习才能够更有针对性。一谈到容器就会想到docker,docker几乎成了容器的代名词了。    好了,言归正传,容器生态系统包括了核心技术、平台技术和支持技术。(1)容器核心技术    是指能够让container在host上运行起来的那些技术。这些技术包括了容器规范、容器runtime,容器管理工具、容器定义工具、registry以及容器OS。下面开...
容器生态全景图
陈海峰的博客
07-04 1307
容器容器生态系统概述
阿鹏的笔记
12-30 1228
1.容器技术和容器平台技术 (1)容器技术: (1.1)容器核心知识:是什么、为什么、怎么做(架构、镜像、容器、网络、存储); (1.2)容器进阶知识:multi-host、容器网络、数据管理、日志管理、安全性。 (2)容器平台技术: (2.1)容器编排引擎:docker swarm、kubernetes、mesos+marathon; (2.2)容器管理平台:Rancher、ContainerS...
Docker的生态系统和未来
03-03
Docker风暴席卷全球,以轻量级容器为核心的生态系统发展迅猛。作者结合自己在开源领域的一些经验,梳理了Docker的技术发展史,分层剖析了现有的生态系统,并展望了未来可能的走向和突破。再次纠正概念:Docker不是轻...
CNCF云原生容器生态系统概要.docx
10-11
CNCF云原生容器生态系统概要.docx
【有容云干货-容器系列】补脑专用,容器生态圈脑图大放送
weixin_34391445的博客
02-23 136
2019独角兽企业重金招聘Python工程师标准>>> ...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1259
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
golang 接口
m0_70982551的博客
07-24 807
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 364
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 493
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
淘客返利系统中的服务发现与注册机制详解
技术研究中心
07-22 2393
通过服务注册中心,服务提供者可以将自己注册到注册中心,服务消费者可以从注册中心获取服务提供者的地址,以实现服务调用。本文详细介绍了淘客返利系统中服务发现与注册机制的实现,包括Eureka的配置与代码示例。通过Eureka,我们可以轻松实现服务的注册与发现,确保分布式系统中各个服务之间的通信。在本文中,我们将深入探讨淘客返利系统中的服务发现与注册机制,并结合Java代码进行详细讲解。在我们的淘客返利系统中,我们采用Eureka作为服务发现与注册的工具。在我们的淘客返利系统中,首先需要配置Eureka服务器。
Java实现拼图小游戏
Aishangyuwen的博客
07-22 1562
Java实现拼图小游戏
Java代码基础算法练习-数的特性-2024.07.25
Sakurapaid的博客
07-25 283
小A喜欢两种性质都成立的数字,小B喜欢至少符合一种性质的数字,小C喜欢不符合这两种性质的 数字。给出一个数字,请输出三个人是否喜欢这个数字。如果喜欢输出1,否则输出0,用空格分隔。输入数字 num,先定义三个整型代表三个人的喜欢与否,先默认设为 0。之后判断num对于性质1、2的条件,分别用 boolen 类型标识。对于每个整型进行判断,是否改为 1 代表喜欢。性质2:大于4且不大于12;
Java修炼 2024.7.26 0:24
2301_80011650的博客
07-26 353
问题:编写一个方法,找出一个数组中的众数(出现次数超过数组长度一半的元素)。例如,输入 [2, 2, 1, 1, 2],输出 2。编写一个方法,找出一个整数数组中的第二大元素。例如,输入 [3, 5, 1, 8, 7],输出 7。例如,输入 5,输出 5。问题:编写一个方法,将给定的字符串逆转。问题:使用数组实现栈,并提供基本操作(push、pop、peek、isEmpty)。问题:实现一个单向链表,并提供基本的操作(添加、删除、查找元素)。问题:编写一个方法来查找一个给定字符串的所有子串。
[Jenkins]jenkins-cli.jar调用用户token启动任务
China_Yanhy的博客
07-23 654
jenkins-cli.jar调用用户token启动任务
"ELK日志生态系统搭建手册:容器化部署与组件简介
最后,本手册还包括了关于如何使用Docker容器化部署ELK日志生态系统的指南。通过Docker镜像和容器的方式,用户可以更加便捷地搭建和管理ELK组件,避免了繁琐的依赖和配置过程,提高了系统的稳定性和可移植性。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值