11 Container Security Scanners to find Vulnerabilities

Zijn uw container- en Docker-image veilig?

Dat zoeken we uit!

Hackers zijn de afgelopen jaren zeer actief geworden. Zelfs grote organisaties als Fb, Google en Yahoo zijn het slachtoffer geworden van aanvallen waarbij miljoenen {dollars} zijn verloren. Daarom is de beveiliging van een applicatie tegenwoordig het allerbelangrijkste in elke organisatie.

Veel van deze applicaties draaien tegenwoordig in containers, omdat ze gemakkelijk schaalbaar, kosteneffectief, sneller inzetbaar zijn, minder opslagruimte in beslag nemen en bronnen veel beter gebruiken dan virtuele machines. De veiligheidsfactor van deze containers is dus zeer cruciaal. Een containerimage bestaat uit lagen, en om echt inzicht te krijgen in de kwetsbaarheid van een afbeelding, moet u toegang hebben tot elke laag. De kleinere containerimages hebben een kleinere kans om te worden blootgesteld aan potentiële kwetsbaarheden.

Containerisatie is een van de kernfasen in het DevOps-proces, waarbij beveiliging serieus moet worden bekeken. Een containerimage kan veel bugs en beveiligingsproblemen bevatten, wat hackers een goede kans biedt om toegang te krijgen tot de applicatie of gegevens die op de container aanwezig zijn, wat het bedrijf miljoenen kost.

Daarom is het van cruciaal belang om de afbeeldingen en containers regelmatig te scannen en te controleren. DevSecOps speelt een belangrijke rol bij het toevoegen van beveiliging aan de DevOps-processen, inclusief het scannen van afbeeldingen en containers op bugs en kwetsbaarheden.

Met een containerbeveiligingsscanner kunt u alle kwetsbaarheden in uw containers vinden en deze regelmatig controleren op aanvallen, problemen of nieuwe bugs.

Laten we de beschikbare opties verkennen.

Helder

Clair is een open-sourceproject dat statische beveiliging en kwetsbaarheidsscans biedt voor docker- en applicatiecontainers (appc).

Het is een API-gestuurde analyse-engine die laag voor laag controleert op beveiligingsfouten in de containers. U kunt companies bouwen met Clair, die uw containers voortdurend kan controleren op eventuele containerkwetsbaarheden. Het waarschuwt u over een potentiële dreiging in de container. Het informeert u over een potentiële bedreiging in de container op foundation van de Frequent Vulnerabilities and Exposures-database (CVE) en vergelijkbare databases.

Als er een dreiging of probleem wordt geïdentificeerd die al in de Nationale Kwetsbaarheidsdatabase (NVD) staat, worden de particulars opgehaald en in het rapport opgenomen.

helder dashboard

Clair-functies:

  • Scant op bestaande kwetsbaarheden en voorkomt dat deze in de toekomst worden geïntroduceerd.
  • Biedt REST API voor integratie met andere instruments
  • Verzendt een melding wanneer er een kwetsbaarheid wordt vastgesteld
  • Biedt een rapport in HTML-formaat met alle particulars van de scan
  • Updatet metadata met regelmatige tussenpozen

Anker

Anchore is een open-sourceproject voor diepgaande analyse van docker-afbeeldingen.

Het certificeert ook een docker-image en geeft aan of deze beveiligd is of niet. De Anchore-engine kan standalone draaien of op orkestratieplatforms zoals Kubernetes, Rancher, Amazon ECS en Docker Swarm. Anchore is ook beschikbaar in Jenkins-plug-ins om de CI/CD-pijplijn te scannen.

Als je alleen een Kubernetes-scanner nodig hebt, bekijk dan deze instruments om beveiligingsfouten in Kubernetes te vinden.

U moet een docker-image indienen bij anchore, die analyseert en u de particulars verstrekt als deze kwetsbaarheden bevat. U kunt uw aangepaste beveiligingsbeleid ook gebruiken om een ​​afbeelding in anchore te evalueren.

verankerd dashboard

U hebt toegang tot de anchore-engine by way of CLI of REST API’s.

Anchore-kenmerken:

  • Biedt diepgaande inspectie van containerimages, besturingssysteempakketten en softwareartefacten zoals jar-bestanden
  • Kan naadloos worden geïntegreerd met uw CI/CD-pijplijn om beveiligingsinbreuken te vinden
  • Definieert en previous beleid toe om het bouwen en inzetten van gevaarlijke afbeeldingen te voorkomen
  • Controleer of er alleen gecertificeerde en beveiligde photos zijn voordat u deze op een orkestratieplatform implementeert.
  • Pas controles aan op kwetsbaarheden, configuratiebestanden, afbeeldingsgeheimen, blootgestelde poorten, enz.

Dagda

Dagda is een open source-tool voor statische analyse van bekende kwetsbaarheden zoals Trojaanse paarden, malware, virussen, enz. in Docker-images en containers. Het maakt gebruik van de ClamAV-antivirusengine om dergelijke kwetsbaarheden te detecteren.

Het importeert eerst alle bekende kwetsbaarheden uit CVE, Pink Hat Safety Advisories (RHSA), Pink Hat Bug Advisories (RHBA), Bugtraq ID’s (BID) en Offensive Safety-database in een MongoDB. Vervolgens worden de afbeeldingen en containers geanalyseerd, overeenkomstig de geïmporteerde kwetsbaarheden.

Dagda-functies:

  • Ondersteunt meerdere Linux-images (CentOS, Ubuntu, OpenSUSE, Alpine, and many others.)
  • Analyseert afhankelijkheden van java, python node js, javascript, ruby, PHP
  • Integreert met Falco voor het monitoren van de actieve containers
  • Slaat elk analyserapport op in MongoDB om de geschiedenis van elke docker-image of container bij te houden

Falco

Falco is een open-sourceproject en een engine voor bedreigingsdetectie voor Kubernetes. Het is een runtime-beveiligingstool om afwijkende activiteiten te detecteren in hosts en containers die op Kubernetes draaien. Het detecteert onverwacht gedrag in uw applicatie en waarschuwt u tijdens runtime over de bedreigingen.

Falco-dashboard

Het maakt gebruik van tcpdump-achtige syntaxis om de regels te bouwen en maakt gebruik van bibliotheken zoals libscap en libinsp die de mogelijkheid hebben om naar binnen te gaan en gegevens op te halen van uw Kubernetes API-server of uw containerruntime-omgeving.

Daarna kunt u die metagegevens gebruiken om meer te weten te komen over pods, labels en naamruimten, zodat u daadwerkelijk regels kunt maken die specifiek zijn voor een bepaalde naamruimte of een bepaalde containerimage. De regels zijn gericht op systeemaanroepen en welke systeemaanroepen wel en niet zijn toegestaan ​​op het systeem.

Aqua-beveiliging

Aqua Safety beschermt applicaties die zijn gebouwd met behulp van cloud-native technologieën zoals containers. Het biedt scannen en beheer van kwetsbaarheden voor orkestrators zoals Kubernetes.

Het is een uitgebreid beveiligingsplatform dat ervoor zorgt dat de applicaties die op de containers draaien veilig zijn en in een veilige omgeving draaien.

Terwijl ontwikkelaars photos bouwen, beschikken ze over een reeks technologieën en bibliotheken om hun photos te bouwen. Met Aqua-beveiliging kunnen ze die afbeeldingen scannen om er zeker van te zijn dat die afbeeldingen schoon zijn, dat er geen bekende kwetsbaarheden in zitten, dat ze geen bekende wachtwoorden of geheimen hebben en dat er geen enkele beveiligingsdreiging is die die afbeelding kwetsbaar kan maken .

aqua-beveiligingsdashboard

Als er een kwetsbaarheid wordt gevonden, rapporteert aqua safety dit terug aan de ontwikkelaar en adviseert wat ze moeten doen om die kwetsbare afbeeldingen te repareren.

Aqua Safety beschikt ook over technologieën om ervoor te zorgen dat het niet wordt aangevallen of gepenetreerd met enige veiligheidsdreiging zodra de container in productie gaat.

Docker financial institution

Docker Bench Safety is een script met meerdere geautomatiseerde assessments om te controleren op de finest practices voor het inzetten van containers in productie.

Om Docker Bench Safety uit te voeren, hebt u Docker 1.13.0 of hoger nodig.

U moet de onderstaande opdracht uitvoeren om Docker Bench Safety uit te voeren.

docker run -it --net host --pid host --userns host --cap-add audit_control 
-e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST 
-v /var/lib:/var/lib 
-v /var/run/docker.sock:/var/run/docker.sock 
-v /usr/lib/systemd:/usr/lib/systemd 
-v /and many others:/and many others --label docker_bench_security 
docker/docker-bench-security

Hierna wordt het script uitgevoerd en worden particulars gedeeld INFO, WARN, PASS. Nadat u het script hebt uitgevoerd, kunt u alle waarschuwingsberichten controleren en de correcties aanbrengen.

havenarbeider beveiliging

Haven

Harbor is een open supply en vertrouwd cloud-native register dat beveiligingsbeleid en op rollen gebaseerde toegangscontrole (RBAC) biedt. Het bewaart, ondertekent en scant docker-images op kwetsbaarheden. Het kan worden geïnstalleerd op een Kubernetes-cluster of elk ander systeem dat Docker ondersteunt.

havendashboard

Havenkenmerken:

  • Gemakkelijk inzetbaar met Docker Compose
  • Biedt beveiligings- en kwetsbaarheidsanalyses
  • Ondertekening en validatie van inhoud voor meerdere tenants
  • Identiteitsintegratie en op rollen gebaseerde toegangscontrole
  • Uitbreidbare API en gebruikersinterface
  • Beeldreplicatie tussen instanties
  • Ondersteunt LDAP/AD en OIDC voor gebruikersbeheer en gebruikersauthenticatie

JFrog-röntgenfoto

JFrog Xray is een proceed open-source beveiligings- en universele instrument voor artefactanalyse.

Met JFrog Xray kunt u uw artefacten en afhankelijkheden voortdurend scannen op beveiligingsproblemen en problemen met de naleving van licenties.

Als universele oplossing voor artefactanalyse identificeert Xray proactief beveiligingskwetsbaarheden en licentierisico’s. Voordat Xray zich in de productie manifesteert, integreert het native met JFrog Artifactory, wat inzicht geeft in alle metadata van artefacten, inclusief de beveiligingsstatus op één scherm.

jfrog röntgenfoto

De JFrog Xray-database met nieuwe kwetsbaarheden en technologieën wordt voortdurend uitgebreid, waardoor u betere technische beoordelingen kunt maken met minder compromissen. Het controleert al uw componenten aan de hand van de groeiende database met nieuwe kwetsbaarheden en waarschuwt u zelfs na de launch voor nieuwe problemen.

Het ondersteunt alle pakkettypen en maakt gebruik van diep recursief scannen om alle onderstreepte lagen en afhankelijkheden te beoordelen, zelfs die verpakt in Docker-afbeeldingen en zip-bestanden. JFrog Xray maakt ook een grafiek van uw artefacten en afhankelijkhedenstructuur en impactanalyse van de ontdekte kwetsbaarheden en licentieproblemen

Qualy’s

Qualys container safety is een instrument die wordt gebruikt om containeromgevingen te ontdekken, volgen en continu te beschermen. Het scant op kwetsbaarheden in afbeeldingen of containers in de DevOps-pijplijn en implementaties in cloud- of on-premise-omgevingen.

welke

Qualys biedt een free of charge versie van de containerbeveiligingsapplicatie aan om gebruikers een voorproefje te geven van wat deze te bieden heeft. Het geeft u een overzicht van afbeeldingen en containers die in de omgeving draaien. Als je ze wilt scannen, moet je hun betaalde abonnement nemen.

Het biedt ook runtime-beveiliging voor containers door een firewall op functieniveau voor containers te bieden. Het geeft diepgaand inzicht in het gedrag van containers en beschermt de picture en actieve containers met behulp van de Qualys CRS-laag (container runtime safety).

Docker-scan

Toch maakt Docker Scan in de bètaversie gebruik van de Synk-engine en kan het lokale Docker-bestanden, afbeeldingen en de afhankelijkheden ervan scannen om bekende kwetsbaarheden te vinden. Je kan lopen docker scan van Docker Desktop.

docker scan mydockerimage

Grijp

Tegenwoordig is containerbeveiliging een populair onderwerp. De scanner voor het scannen van containerbeveiliging is een van de vele hulpmiddelen die u kunt gebruiken om uw containers te beveiligen. Grype is een beveiligingsscanner voor containers die wordt gebruikt om kwetsbaarheden te identificeren in containers die op elk platform werken.

Het is te vinden op GitHub en is open supply. Voor Grype zijn zowel een webapplicatie als een opdrachtregeltool beschikbaar.

grypekwetsbaarhedenscanner

Deze open supply scanner voor containerkwetsbaarheid helpt DevOps-teams bij het vinden en oplossen van beveiligingsfouten in hun runtime-omgevingen en containerimages.

Het controleert actieve containers op mogelijke beveiligingsfouten en scant openbare en privé Docker-images op kwetsbaarheden. Grype kan alleen worden gebruikt of als plug-in voor bekende DevOps-instrumenten zoals Jenkins, CircleCI en Travis CI.

Topfuncties

  • Ondersteuning van alle populaire besturingssystemen, waaronder Redhat, Oracle, Ubuntu, CentOS, enz.
  • Eenvoudige installatie en compatibiliteit met verschillende andere talen, waaronder Java, Ruby, PHP en DotNet
  • Accepteert Syft-, SPDX- en CycloneDX SBOM-invoerformaten
  • Het uitvoerformaat kan worden gedefinieerd met behulp van Go-sjablonen
  • Ondersteunt verschillende bronnen voor het bouwen van kwetsbaarheidsdatabases om de betrouwbaarheid van het matchen van kwetsbaarheden te vergroten.

Grype wint aan populariteit omdat het eenvoudig te installeren is en kan worden gebruikt op elk platform dat containers ondersteunt.

Omdat er talloze manieren zijn om een ​​container aan te vallen, is het hebben van een solide beveiligingsscanner essentieel. Daarom kan een nieuwe containerbeveiligingsscanner, Grype, worden gebruikt om kwetsbaarheden in containers te vinden en aanvallen te voorkomen.

Conclusie

Nu weet je dat er een containerbeveiligingsscanner bestaat, dus geen excuus. Ga uw gang en probeer te zien hoe zij u kunnen helpen uw containertoepassing veilig te houden.

Rate this post
Leave a Comment