Docker den här veckan aviserade utbyggnaden av säkerhet scanning-teknik för att skydda behållaren innehåll över hela mjukvara för supply chain.
Docker Säkerhet Scanning är en opt-in service för Docker Moln privata arkiv planer. Det ger en trygghet bedömning av den programvara som ingår i behållaren bilder.
Det gör att detaljerad bild säkerhet profiler, kontinuerlig sårbarhet övervakning och anmälningar för integrerade innehåll säkerhet över hela mjukvara för supply chain, Docker sagt. Det ger också binär nivå scanning som genererar en detaljerad säkerhet profil för varje Docker bild.
Tjänsten ger information som gör att IT-verksamheten för att bedöma om programvaran tillgodoser säkerheten efterlevs normer. Det fungerar sömlöst med befintliga utveckling och DET arbetsflöden och skannar varje gång en förändring sker till havs, lägga till en checkpoint innan utbyggnaden, sade företaget.
“Skanningen skapar en bild signatur mycket som ett innehåll etikett på en soppa,” sade Nathan McCauley, chef för säkerhet på Docker.
Vad Den Gör
Docker Säkerhet Scanning fungerar över alla program och alla stora Linux-distributioner. Det erbjuder integrering i en Behållare som en Tjänst arbetsflöde som förbättrar en organisations säkerhet hållning genom centrala lyckades DET säkert innehåll, sade företaget.
Som en del av förbättringen av säkerheten, företaget även släppt en uppdatering till Docker Bänk. Release automatiserar validering av en host configuration mot TIS Riktmärke rekommendationer. Med uppdateringen, Docker användare kan genomföra rekommendationerna från den senaste TIS Docker Riktmärke för att se till att deras plattform är konfigurerad för att vara i linje med bästa praxis som beskrivs för Docker Motor 1.11, McCauley berättade LinuxInsider.
Denna säkerhet process hjälper till att besvara flera kritiska frågor om datasäkerhet. Det talar om för användaren innehållet i en Docker behållare. Det låter användarna vet om koden har sitt ursprung, hur man undviker bad komponenter, och hur man håller fläckar aktuella för efterlevnad och styrning.
“Med denna process, utvecklare blir en del av security processen. Devs kan se resultatet av skanningen innan de distribuera programvara,” sade McCauley. “Vi har gjort det till vårt mål att säkra global software kedjan, från utveckling, test till produktion.”
Hur Det Fungerar
Docker bild scanning och sårbarhet upptäckt ger en container-optimerad kapacitet för detaljerad granskning av bilder. Resultaten presenteras i en bill of material som innehåller information om bilden lager och komponenter, tillsammans med säkerhet profil av varje komponent, enligt Docker.
Som möjliggör oberoende programvaruleverantörer, förlag och app-team att fatta välgrundade beslut om innehåll baserat på deras säkerhet. Isv: er kan använda informationen för att aktivt åtgärda sårbarheter för att bibehålla en hög kvalitet på trygghet profiler av deras innehåll och öppet sätt distribuera dem till sina slutanvändare. App lag kan besluta om de vill använda en ISV bild baserad på visad profil och flexibelt använda Säkerhet Scanning för att kontrollera ytterligare en kod innan man beslutar att använda.
Utan som tillval förbättrad säkerhet, IT-drift förlita sig på den information som publiceras av varje ISV på staten av sitt innehåll till projektet Common Vulnerabilities and Exposures databaser och manuellt övervaka dem för eventuella frågor. Docker Säkerhet Scanning automatiserar processen och meddelar att en organisation när en sårbarhet som rapporterats för någon komponent i bilder.
Privilegierade Prestanda
Den kommande versionen av Docker Motorn kommer att använda en multidaemon metod för att separera privilegier, vilket gör det mer säker än den enda demon design som används av tidigare versioner. Det är ett exempel på hur Docker har fortsatt att förbättra sin säkerhet hållning över tid, enligt Adrian Otto, framstående arkitekt på
Rackspace.
“Vi tror förbättringar som detta kommer att fortsätta, eftersom utvecklingen drivs av intressen av en community av användare och utvecklare som blir mer och mer angelägen om att ansökan säkerhet som hot och sofistikerade motståndare blivit vanligare”, sa han till LinuxInsider.
Säkerheten är en legitim oro för alla moln-applikationer, oavsett om de använder container teknik eller inte. Kontinuerligt skanna din distribution system efter sårbarheter är definitivt en säkerhet för bästa praxis. Idealiskt, säkerhet scanning bör vara inbyggd i en container hosting system för att hålla program mer säker, Otto sade.
Säkerhet i Steglängd
Som en säkerhetsfråga, Docker teknik har en hel del utrymme att växa, men det är att göra stora framsteg, enligt Scott Moore, CTO Arkitekt för Säkerheten vid
Sungard Availability Services.
Utsläpp av Docker motor 1.10 var nästan helt och hållet säkerhet i fokus. Version 1.11 var den första versionen byggdes med
runC liksom
Containerd och anpassat sig till den Öppna Katalog Gränssnitt standard.
Docker Cloud är en Behållare as a Service-lösning som låter kunderna att få sina egna noder från något moln leverantör. Kunder skapa och köra noder, så Docker inte kontroll den mottagande säkerhet. Docker Molnet kommer att dra information från noderna och lagra det i Docker Moln i sig, och det kan inte ha certifieringar runt säkra metadata från de noder som den samlar in.
“Om Docker ID som används för att autentisera till Docker Moln är läckt, någon kanske kan få tillgång till containrar på varje nod som förvaltas av Docker Moln. Vid denna tid, Docker Molnet inte har finkornig, tillstånd-baserad åtkomst till och med API-nyckel förvaltning,” Moore berättade LinuxInsider.
Hur Mycket Är Tillräckligt?
Det finns ett behov av ytterligare åtgärder för att säkerställa integriteten hos den mottagande system samt innehållet i behållare själva, enligt Randy Kilmon, vice president of engineering vid
Black Duck Programvara. De flesta av hans kunder gör sin egen lösning med hjälp av olika mekanismer för distribution.
“Så långt, Docker har inte tillbringat tid att göra säkra behållare, vilket innebär att om en kör behållaren har en sårbarhet, det kan fortfarande utnyttjas på behållaren nivå”, sade han LinuxInsider.
Säkerhet är en svår sak att få rätt. Organisationer ofta design anpassad användningsfall som inte passar en standard mögel, enligt Chenxi Wang, chief strategy officer för
Twistlock.
“Alltså, det finns alltid rum för add-on säkerhetsmoduler utanför plattformen,” sade hon till LinuxInsider.
Innehåller Behållaren
Docker Cloud är en lösning för att köra behållare i molnet. Om Docker Moln är säker, det betyder inte att de kärl du köra i den för din cloud-lösning är säkra, enligt Kilmon.
“Det är två olika saker. Om du inte skanna din egen behållare, du skulle kunna utnyttjas på behållaren nivå”, tillade han.
Docker Moln är bara så säker som dess utgör delar. Cloud säkerhet beror till stor del på hur den används, Kilmon sagt.
Till exempel, om du ger en Amazon Web Services-instans eller en nod för att köra din behållare på, och det blir nedsatt, det skulle vara en svag länk i kedjan.
“Docker Molnet är inget mer än värd Docker infrastruktur — Docker registret, Docker motor, etc. Detta värd infrastruktur är säkert, men Docker behållare du köra i infrastruktur kan fortfarande vara osäkra,” Kilmon sagt.
Behållare eller Servrar?
Ett stort behov finns för en ökad säkerhet add-on kit. De flesta företag är att hantera komplexa miljöer med traditionella bare-metal-servrar, virtualisering, cloud arbetsbelastning som körs i privata och publika moln, liksom behållare potentiellt kunna användas över alla dem, konstaterade Sami Laine, Rektor Teknolog på
CloudPassage.
“Med omfattande verktyg som ger överblick och kontroller av efterlevnaden över allt detta IT-leverans landskap — inklusive förmåga att inspektera behållare motorer och bilder som de är utplacerade — kommer att bli mer viktigt, inte mindre,” sade han LinuxInsider.
En ond docker behållare kan attackera sin värd eller annan behållare. Isoleringen mellan behållare är bra, men det är inte lika bra som mellan de virtuella maskinerna, verkställas av CPU, enligt Simon Crosby, CTO på
Bromium.
“I slutändan, Docker är redan betydligt bättre än traditionella läckande enterprise server applikationer och infrastruktur”, sa han till LinuxInsider.
Produkternas Tillgänglighet
Docker Säkerhet Skanning finns att Docker Moln användare med en privat arkiv plan. Det kommer att utvidgas till alla Hamnarbetare Moln repo användare i slutet av Q3.
Efter en inledande gratis provperiod, priser börjar på 2 usd per arkivet som en add-on för egen repo planer. Docker Säkerhet Scanning kommer också att vara tillgänglig som en integrerad del i Docker Datacenter under andra halvåret 2016.
