7个用于锁定Docker和Kubernetes的容器安全工具

Docker容器可帮助软件开发人员更快地构建应用程序，并更灵活地部署它们。 容器还可以帮助开发人员提高软件的安全性。

自动分析容器中包含的软件组件，跨容器集群和多个应用程序版本的行为策略，以及跟踪和管理漏洞数据方面的创新性新发展，都是容器在整个应用程序生命周期中增强安全性的一些方式。

[InfoWorld解释： 什么是云原生？ 开发软件的现代方式 。 | 入门： Azure云迁移指南 。 •教程： Google Cloud入门 。 | 通过InfoWorld的云计算新闻通讯了解云计算的最新发展。 ]

不过，其中有多少是另类的。 Docker和容器管理系统（例如Kubernetes）提供了基础知识，但不仅限于此，还为第三方工具提供了更高级的安全监控和实施。

这里有七个最近经过改进的容器安全产品和服务，它们在云和您自己的数据中心中为容器带来了诸如漏洞检测，合规性检查，白名单，防火墙和运行时保护之类的功能。

Aporeto专注于运行时保护，类似于下面讨论的NeuVector产品。 该公司提供了一个微服务安全产品来保护Kubernetes的工作负载，并提供一个云网络防火墙系统来保护在分布式环境中运行的应用程序。

借助Kubernetes工作负载，Aporeto可以保护本地和托管环境（例如Google Kubernetes Engine）。 每个创建的资源都分配有一个服务标识，用于确保应用程序周围的信任链不会中断。 除其他事项外，服务标识用于强制执行声明的应用程序行为，而不管该应用程序实际位于何处。

注册帐户后，可根据要求提供Aporeto的定价。 30天免费评估。

Aqua Container Security Platform为Linux容器和Windows容器提供合规性和运行时安全性。

端到端容器安全管理器允许管理员将安全策略和风险配置文件应用于应用程序，并将这些配置文件与不同的应用程序构建管道相关联。 图像扫描可以与build和CI / CD工具集成在一起 。

Aqua Container Security Platform还允许管理员在运行时使用应用程序上下文来为应用程序划分网络。 Aqua平台可与Hashicorp Vault等秘密管理工具配合使用，并支持Grafeas API，用于从软件组件访问元数据。 Aqua平台可以记录在应用程序的Grafeas存储中找到的任何漏洞信息，而Aqua策略可以利用Grafeas定义数据来处理安全事件和软件问题。

Aqua Container Security Platform可用于本地或云中部署。 没有免费试用版或开放源代码版本，但是Aqua 发行了许多从该平台派生的开放源代码工具 。

Atomic Secured Docker是Ubuntu，CentOS和Red Hat Enterprise Linux的替代Linux内核，它利用多种强化策略来抵消潜在的攻击。 许多保护措施，例如对用户区内存的强化权限，均来自Atomicorp的安全内核产品常规系列。 其他的，例如容器突破保护，是专门为Docker设计的。

可通过直接购买获得Atomic Secured Docker。 AWS托管的CentOS，Azure托管的CentOS和Ubuntu的版本在AWS和Azure市场上可用。

NeuVector旨在保护整个Kubernetes集群。 它与现有的Kubernetes管理解决方案（例如Red Hat OpenShift和Docker Enterprise Edition）一起使用，旨在保护部署的各个阶段的应用程序，从开发（通过Jenkins插件）到生产。

像这里的许多其他解决方案一样，NeuVector作为容器部署到现有的Kubernetes集群中，而无需修改现有代码。 将NeuVector添加到群集后，它将发现所有托管容器并生成详细说明连接和行为的映射。 可检测到并考虑到由应用程序启动或关闭引起的任何更改，因此对威胁（包括容器突破或新漏洞）的实时扫描仍然有效。

NeuVector的定价基于正在运行的Docker主机的数量，起价为每年9,950美元。 可以免费试用 。

Sysdig Secure提供了一组用于监视容器运行时环境并从中获取取证的工具。 Sysdig Secure旨在与Sysdig的其他检测工具（例如Sysdig Monitor）携手运行。

可以针对每个应用程序，每个容器，每个主机或每个网络活动设置和实施环境策略。 Sysdig Secure跟踪的任何事件都可以通过主机或容器或协调器（通常是Kubernetes）的镜头进行查看。 可以记录和检查每个容器的命令历史记录，并且可以以类似于Twistlock的“事件浏览器”功能的方式记录和回放整个集群的一般取证。

Sysdig Secure仅可作为Sysdig的付费产品使用 ，同时提供云和本地版本。

Tenable.io容器安全性致力于在构建过程中而不是在生产后为开发团队提供容器安全性的可见性。

在构建时会扫描容器映像，以查看是否存在恶意软件，漏洞和策略合规性。 如果图像或图像中的任何元素引发危险信号，则会通知开发人员问题的性质及其确切位置（例如，多层图像的特定层），因此可以对其进行修复在下一次推送时很快。

Tenable.io容器安全性可与大多数常见的CI / CD构建系统和容器映像注册表配合使用，并提供所有运行中的容器映像的当前状态，策略实施状态和存储库行为的仪表板视图。

可根据要求提供Tenable.io容器安全性的定价 。 免费试用期为60天。

Twistlock为Docker Enterprise等“核心”容器产品未涵盖的容器添加了许多安全控件。 其中一些功能包括：

• 用于在容器上实施HIPAA和PCI规则的合规性控制。
• Jenkins等构建工具的合规性警报。
• 云原生应用程序的防火墙。
• 基于对有效和无效容器行为的分析，对容器进行运行时攻击保护。
• 对Kubernetes的CIS Benchmark的支持，以便可以根据一组保护Kubernetes的通用标准来检查Kubernetes管理的部署。

Twistlock 2.5（于2018年8月发布）增加了新的取证分析技术，可减少运行时开销（例如，将事前和事后容器状态信息存储在容器本身之外）； 实时可视化工具的增强功能，用于映射名称空间，容器和容器； 以及无服务器计算系统的防御。

Twistlock提供付费企业版 。 一次提供了30天的免费试用版，但已停产。

From: https://www.infoworld.com/article/3234671/7-container-security-tools-to-lock-down-docker-and-kubernetes.html