Docker denne uken annonserte utrullingen av sikkerhet skanning teknologi for å beskytte container innhold på tvers av hele programvaren verdikjeden.
Docker Sikkerhet Skanning er en valgfri tilleggstjeneste for Docker Cloud privat depot planer. Det gir en sikkerhet vurdering av programvaren som er inkludert i beholderen bilder.
Det muliggjør detaljert bilde sikkerhet profiler, kontinuerlig sårbarhet overvåking, og varsler for integrert innhold sikkerhet over hele programvaren verdikjeden, Docker sa. Det gir også binær-nivå skanning som genererer en detaljert sikkerhet profil for hver Docker bilde.
Tjenesten gir informasjon som gjør at IT-drift for å vurdere om programmet tilfredsstiller sikkerhets standarder. Det fungerer sømløst med eksisterende utvikling og DET arbeidsflyter og skanner hver gang en endring er sendt ut, legge til et sjekkpunkt før distribusjon, selskapet sa.
“Skanning prosessen skaper et bilde signatur mye som et innholdet etiketten på en av suppe,” sa Nathan McCauley, direktør for sikkerhet på Docker.
Hva Den Gjør
Docker Sikkerhet Skanning fungerer på tvers av alle programmer og alle store Linux-distribusjonene. Det gir integrering i en Beholder som en Tjeneste arbeidsflyt som forbedrer organisasjonens sikkerhet holdning gjennom central DET klarte sikkert innhold, selskapet sa.
Som en del av sikkerhetstiltak selskapet har også gitt ut en oppdatering til Docker Benken. Utgivelsen automatisk validering av en host configuration mot CIS Benchmark anbefalinger. Med oppdateringen, Docker brukere kan implementere anbefalinger fra den nyeste CIS Docker Benchmark for å sikre at deres plattform er konfigurert til å være i tråd med beste praksis skissert for Docker Motor 1.11, McCauley fortalte LinuxInsider.
Dette security-prosessen bidrar til å svare på flere kritiske spørsmål om datasikkerhet. Det informerer brukerne om innholdet av et Docker container. Det lar brukere vet hvor koden oppsto, hvordan du kan unngå dårlige komponenter, og hvordan du kan holde flekker gjeldende for etterlevelse og selskapsledelse.
“Med denne prosessen, utvikleren blir en del av sikkerheten prosessen. Utviklere er i stand til å se resultatene av skanningen før de distribuerer programvaren,” sier McCauley. “Vi har gjort det til vårt mål om å sikre den globale programvare verdikjeden fra utvikling, test og produksjon.”
Hvordan Det Fungerer
Docker bilde skanning og sårbarhet detection gir en container-optimalisert mulighet for detaljert revisjon av bilder. Resultatene er presentert i en regning på materialer som inneholder detaljene i bildet lag og komponenter, sammen med sikkerhet profil av hver komponent, i henhold til Docker.
Som gjør det mulig for uavhengige programvareleverandører, utgivere og app lag for å ta informerte beslutninger om innhold basert på deres retningslinjer for sikkerhet. Internett-leverandører kan bruke informasjonen til å aktivt fikse sårbarheter for å opprettholde høy kvalitet sikkerhet profiler av deres innhold og transparent distribuere dem til sine sluttbrukere. App-lag kan selv bestemme om de ønsker å bruke en ISV bildet basert på det som vises profil og fleksibelt bruk Sikkerhet Skanning for å sjekke den ekstra koden før du bestemmer deg for å distribuere.
Uten at ekstra sikkerhet ekstrautstyr, IT-drift stole på informasjon som er publisert av hver ISV på tilstanden deres innhold til the Common Vulnerabilities and Exposures databaser og manuelt overvåke dem for noen problemer. Docker Sikkerhet Skanning automatiserer prosessen og varsler en organisasjon når en sårbarhet er rapportert for noen komponent i bilder.
Privilegert Ytelse
Den kommende versjonen av Docker Motoren vil bruke en multidaemon tilnærming til egne rettigheter, noe som gjør det mer sikkert enn de single-daemon design ble brukt i tidligere versjoner. Det er ett eksempel på hvordan Docker har fortsatt å forbedre sikkerheten holdning over tid, i henhold til Adrian Otto, anerkjente arkitekten
Rackspace.
“Vi tror ekstrautstyr som dette vil fortsette, så utviklingen er drevet av interesser av et fellesskap av brukere og utviklere som er ferd med å bli mer og mer opptatt av sikkerhet program som trusler og sofistikerte motstandere blitt mer utbredt,” fortalte han LinuxInsider.
Sikkerhet er en legitim bekymring for alle cloud-aktivert programmer, enten de bruker container-teknologi eller ikke. Kontinuerlig skanning distribusjon system for sårbarheter er definitivt en sikkerhet for beste praksis. Ideelt sett, sikkerhet skanning bør være innebygd i container for hosting systemer for å holde programmer sikrere, Otto sa.
Sikkerhet på strak arm
Som et sikkerhetsspørsmål, Docker teknologi har mye rom for å vokse, men det er å gjøre store fremskritt, ifølge Scott Moore, CTO Arkitekten av Sikkerhet i
Sungard Tilgjengelighet Tjenester.
Utgivelsen av Docker motor 1.10 ble nesten helt sikkerhet i fokus. Versjon 1.11 ble den første utgivelsen bygget med
runC så vel som
Containerd og forholdt seg til Åpne Katalogen Grensesnitt standard.
Docker Cloud er en Beholder som en Service løsning som tillater kundene å ta sine egne noder fra nettsky-leverandør. Kundene til å skape og kjøre noder, så Docker ikke styre vert sikkerhet. Docker Cloud vil trekke informasjon fra noder og lagre det i Docker Cloud selv, og det kan ikke ha sertifiseringer rundt sikring av metadata fra nodene de samler inn.
“Hvis Docker-ID-brukes til å autentisere Docker Cloud er lekket, noen kan være i stand til å få tilgang til containere på en node som forvaltes av Docker Skyen. På denne tiden, Docker Cloud ikke har finkornet, tillatelse-basert tilgang til eller selv API key management,” Moore fortalte LinuxInsider.
Hvor Mye Er Nok?
Det er behov for ytterligere tiltak for å sikre integriteten til verten systemer så vel som innholdet inne i containere seg selv, i henhold til Randy Kilmon, vice president of engineering ved
Black Duck Programvare. De fleste av hans selskapets kundene med å gjøre deres egen løsning ved hjelp av ulike distribusjon mekanismer.
“Så langt, Docker har ikke brukt tid på å lage beholdere sikker, som betyr at hvis en kjører beholderen har en sårbarhet, det kan fortsatt være utnyttet på beholderen nivå,” fortalte han LinuxInsider.
Sikkerhet er en vanskelig ting å få rett. Organisasjoner ofte design tilpasset tilfeller som ikke passer inn i et standard mold, i henhold til Chenxi Wang, chief strategy officer for
Twistlock.
“Derfor, det er alltid rom for add-on security moduler utenfor plattformen,” sa hun til LinuxInsider.
Inneholder Container
Docker Cloud er en løsning for å kjøre containere i skyen. Hvis Docker Cloud er sikkert, det betyr ikke at den beholder du kjører i det for din cloud-løsningen er sikker, i henhold til Kilmon.
“Dette er to forskjellige ting. Hvis du ikke skanne dine egne beholdere, du kan potensielt utnyttes på beholderen nivå,” la han til.
Docker Cloud er bare så sikker som utgjør deler. Cloud security i stor grad avhenger av hvordan den brukes, Kilmon sa.
For eksempel, hvis du gir en Amazon Web Services eksempel eller en node for å kjøre containere på, og som blir kompromittert, ville det representere et svakt ledd i kjeden.
“Docker Cloud er noe mer enn arrangert Docker infrastruktur — Docker registret, kan du Docker motor, etc. Dette vert infrastruktur er sikkert, men Docker beholder du kjører i at infrastruktur kan fortsatt være usikre,” Kilmon sa.
Beholdere eller Servere?
Et stort behov eksisterer for en forbedret sikkerhet add-on verktøy. De fleste bedrifter er å håndtere komplekse miljøer med tradisjonell bare-metall-servere, virtualisering, cloud arbeidsbelastninger kjører i private og offentlige skyer, samt containere potensielt utplassert på tvers av alle av dem, bemerket Samisk Laine, Rektor på Teknolog
CloudPassage.
“Etter å ha omfattende verktøy som gir synlighet og compliance kontroller på tvers av alt dette er DET levering landskapet — inkludert muligheten til å inspisere container motorer og bilder som de er utplassert — skal bli mer viktig, ikke mindre,” fortalte han LinuxInsider.
En ond docker container kunne angripe sin vert eller annen beholder. Isolasjon mellom containere er god, men det er ikke så god som mellom virtuelle maskiner, håndheves av CPU-en, i henhold til Simon Crosby, CTO i
Bromium.
“Til syvende og sist, Docker er allerede vesentlig bedre enn tradisjonelle lekk enterprise server applikasjoner og infrastruktur,” fortalte han LinuxInsider.
Produkt Tilgjengelighet
Docker Sikkerhet Skanning er tilgjengelig for å Docker Cloud brukere med et privat depot plan. Det vil utvide til alle Docker Cloud repo brukere ved utgangen av 3. kvartal.
Etter en innledende gratis prøveperiode, priser starter på US$2 per depotet som en add-on service til private repo planer. Docker Sikkerhet Skanning også vil være tilgjengelig som en integrert funksjon i Docker Datasenteret i løpet av andre halvdel av 2016.
