Docker denne uge meddelte, at udrulningen af sikkerhed scanning teknologi til at beskytte beholderen indhold på tværs af hele software supply chain.
Docker Sikkerhed Scanning er en opt-in service for Docker Cloud egen repository planer. Det giver en sikkerhed, vurdering af den software som er inkluderet i beholder og billeder.
Det gør det muligt detaljeret billede sikkerhed profiler, fortsatte sårbarhed overvågning, og meddelelser til integreret indhold sikkerhed på tværs af hele software supply chain, Dokker sagde. Det giver også binary-niveau scanning, der genererer en detaljeret sikkerhed profil for hver Docker billede.
Tjenesten indeholder oplysninger, der giver IT-drift at vurdere, hvorvidt softwaren opfylder sikkerheds-compliance-standarder. Det virker problemfrit med det eksisterende-udvikling og IT-arbejdsprocesser og scanner hver gang en ændring er afsendt, tilføje et checkpoint før indsættelsen, siger virksomheden.
“Scanning proces, der skaber et billede, underskrift meget gerne et indhold etiket på en dåse suppe,” sagde Nathan McCauley, direktør for sikkerhed på Dokker.
Hvad Betyder Det
Docker Sikkerhed Scanning virker på tværs af alle programmer og alle de store Linux-distributioner. Det giver integration i et Containere som en Service arbejdsproces, der forbedrer organisationens sikkerhedspolitik kropsholdning gennem det centrale lykkedes DET sikkert indhold, siger virksomheden.
Som en del af den sikkerhed, ekstraudstyr, virksomheden har også udgivet en opdatering til Docker Bænken. Udgivelsen automatiserer validering af et væld konfiguration mod CIS-Benchmark anbefalinger. Med opdateringen, der Lader brugerne kan gennemføre anbefalingerne fra den seneste CIS Docker Benchmark for at sikre, at deres platform er konfigureret til at være i overensstemmelse med den bedste praksis, der er skitseret for Docker Motor 1.11, McCauley fortalte LinuxInsider.
Denne proces hjælper med til at svare på flere kritiske spørgsmål om it-sikkerhed. Det fortæller brugerne indholdet af en Dokker container. Det giver brugerne mulighed for vide, hvor koden opstod, hvordan man undgår dårlige komponenter, og hvordan man kan holde patches aktuelle for compliance og governance.
“Med denne proces udvikler bliver en del af den sikkerhed processen. Devs er i stand til at se resultaterne af scanningen, før de installerer den software,” sagde McCauley. “Vi har gjort det vores mål at sikre den globale software kæden fra udvikling, test til produktion.”
Hvordan Det Virker
Docker billede scanning og sårbarhedsdetektering giver en container-optimeret evne til granulerede revision af billeder. Resultaterne er præsenteret i en regning på materialer, der indeholder oplysninger om det billede, lag og komponenter, sammen med den sikkerhed profil af hver enkelt komponent, i henhold til Docker.
Der giver mulighed for uafhængige software-leverandører, udgivere og app teams til at træffe informerede beslutninger om indhold, der er baseret på deres sikkerhedspolitikker. Isv ‘ er kan bruge oplysningerne til at aktivt at rette sårbarheder til at opretholde en høj kvalitet, sikkerhed profiler af deres indhold og gennemskueligt at implementere dem til deres slutbrugere. App hold kan beslutte, om de ønsker at bruge en ISV billede baseret på den viste profil og fleksibelt at bruge Sikkerheds-Scanning for at tjekke den ekstra kode, før de beslutter at implementere.
Uden at valgfrit sikkerhedsforbedring, IT-drift stole på de oplysninger, der offentliggøres af hver ISV om tilstanden af deres indhold til projektet Common Vulnerabilities and Exposures databaser og manuelt at overvåge dem for eventuelle spørgsmål. Docker Sikkerhed Scanning automatiserer processen og giver besked, en organisation, når en svaghed, er rapporteret for en komponent i billeder.
Privilegeret Performance
Den kommende version af Docker Motor vil bruge en multidaemon tilgang til at adskille privilegier, der gør det mere sikkert end de enkelt-daemon design, der bruges af de tidligere versioner. Det er et eksempel på, hvordan man Docker har fortsat med at forbedre sin sikkerhed kropsholdning over tid, ifølge Adrian Otto, fornemme arkitekt på
Rackspace.
“Vi mener, at forbedringer som denne vil fortsætte, som udviklingen er drevet af interesser i et fællesskab af brugere og udviklere, der bliver mere og mere bekymret med ansøgningen sikkerhed, som trusler og avancerede fjender bliver mere udbredt,” fortalte han LinuxInsider.
Sikkerhed er en legitim bekymring for alle cloud-baserede programmer, uanset om de bruger container teknologi eller ej. Løbende scanning af din installation system for sårbarheder er helt sikkert en sikkerheds praksis. Ideelt set, scanning af sikkerhed skal være indbygget i container hosting-systemer til at holde programmerne på en mere sikker, Otto sagde.
Sikkerhed i stiv arm
Som et spørgsmål om sikkerhed, Docker-teknologi har en masse plads til at vokse, men det gør store fremskridt, ifølge Scott Moore, CTO Arkitekt Sikkerhed på
Sungard Tilgængelighed Tjenester.
Udgivelsen af Docker motor 1.10 blev næsten fuldstændig sikkerhed-fokuseret. Version 1.11 var den første udgivelse, der er bygget med
runC samt
Containerd og i overensstemmelse med Open Catalog Interface standard.
Docker Cloud er en Container, som en Service løsning giver kunderne mulighed for at medbringe egne noder fra enhver cloud-udbyder. Kunder med at oprette og køre noder, så Lader ikke styre vært sikkerhed. Docker Cloud vil trække oplysninger fra noder og gemme det i Dokkeren Sky sig selv, og det kan ikke have certificeringer omkring sikring af metadata fra de knuder, vi indsamler.
“Hvis Docker-ID, der bruges til at godkende Docker Cloud er lækket, kan en person være i stand til at få adgang til containere på en node, der forvaltes af Docker Cloud. På dette tidspunkt, Dokker Skyen ikke har finkornet, permission-based access eller endda API key management,” Moore fortalte LinuxInsider.
Hvor Meget Er Nok?
Der er behov for yderligere foranstaltninger for at sikre integriteten af host-systemer samt indholdet i beholdere sig selv, efter at Randy Kilmon, vice president of engineering hos
Black Duck Software. De fleste af virksomhedens kunder med at foretage deres egen løsning ved hjælp af forskellige etablerings-mekanismer.
“Så langt, Dokker har ikke brugt tid på at lave beholdere, sikker, hvilket betyder, at hvis en kører beholderen har en svaghed, kan den stadig udnyttes på beholderen niveau,” fortalte han LinuxInsider.
Sikkerhed er en hård ting at få ret. Organisationer er ofte designet til brugerdefineret use cases, der ikke passer til en standard form, i henhold til Chenxi Wang, chief strategy officer for
Twistlock.
“Der er derfor altid plads til add-on security moduler uden for platformen,” fortalte hun LinuxInsider.
Indeholder Container
Docker Cloud er en løsning til at køre containere i skyen. Hvis Docker Skyen er sikker, det betyder ikke, at de beholdere, du kører i det til din cloud-løsning er sikker, i henhold til Kilmon.
“Det er to forskellige ting. Hvis du ikke scanne din egen beholdere, du kunne potentielt udnyttes på beholderen niveau,” tilføjede han.
Docker Cloud er kun så sikkert som dets udgør dele. Cloud sikkerhed afhænger i høj grad af, hvordan det bruges, Kilmon sagde.
For eksempel, hvis du giver en Amazon Web Services instans eller en node for at køre din containere på, og der bliver kompromitteret, og det ville udgøre et svagt led i kæden.
“Docker Cloud er intet mere end hosted Docker infrastruktur — Docker registreringsdatabasen, Dokker motor, osv. Denne hosted infrastruktur, der er sikker, men den Docker beholdere, du kører i, at infrastruktur kan stadig blive usikker,” Kilmon sagde.
Beholdere eller Servere?
Et stort behov for en forbedret sikkerhed add-on kit. De fleste virksomheder er styring af komplekse miljøer med traditionelle bare-metal-servere, virtualisering, cloud workloads, der kører i private og offentlige skyer, samt containere, der potentielt kan anvendes på tværs af alle dem, bemærkes, Sami Laine, Principal-Teknolog på
CloudPassage.
“Der har omfattende værktøjer, der giver synlighed og overholdelse kontrol over alt dette er DET levering landskab-herunder evnen til at inspicere container motorer og billeder, som de er indsat — vil blive mere vigtigt, ikke mindre,” fortalte han LinuxInsider.
En ond docker container kunne angribe sin vært, eller en anden container. Isolation mellem beholdere er god, men det er ikke lige så god som mellem virtuelle maskiner, der håndhæves af CPU, ifølge Simon Crosby, CTO i
Bromium.
“I sidste ende, Docker er allerede langt bedre end traditionel utæt enterprise server apps og infrastruktur,” fortalte han LinuxInsider.
Produktets Tilgængelighed
Docker Sikkerhed Scanning er tilgængelige til Docker Cloud-brugere med eget repository plan. Det vil udvide til alle Docker Cloud repo brugere ved udgangen af Q3.
Efter en indledende gratis prøveperiode, priser starter ved US$2 per repository som en add-on service for private repo planer. Docker Scanning af Sikkerhed også vil være til rådighed som en integreret funktion i Dokkeren Datacenter i anden halvdel af 2016.
