10 escáneres de seguridad de contenedores para encontrar vulnerabilidades

¿Están seguros su contenedor y su imagen de Docker?

¡Vamos a averiguar!

Los piratas informáticos se han vuelto muy activos en los últimos años. Incluso las grandes organizaciones como Facebook, Google y Yahoo han sido víctimas de ataques perdiendo millones de dólares. Es por eso que la seguridad de una aplicación es lo más importante en todas las organizaciones hoy en día.

Muchas de estas aplicaciones hoy en día se ejecutan dentro de contenedores, ya que son fácilmente escalables, rentables, se implementan más rápido, requieren menos almacenamiento y utilizan los recursos mucho mejor que las máquinas virtuales. Por lo tanto, el factor de seguridad de estos contenedores es muy importante. Una imagen contenedora se compone de capas, y para obtener una comprensión real de la postura de vulnerabilidad de una imagen, debe acceder a cada capa. Las imágenes de contenedores más pequeños tienen menos posibilidades de quedar expuestas a posibles vulnerabilidades.

La contenedorización es una de las etapas centrales en el proceso de DevOps donde la seguridad debe considerarse con seriedad. Una imagen de contenedor puede tener muchos errores y vulnerabilidades de seguridad, lo que brinda una buena oportunidad para que los piratas informáticos accedan a la aplicación o a los datos presentes en el contenedor, lo que le cuesta millones a la empresa.

Por lo tanto, es crucial escanear y auditar las imágenes y los contenedores con regularidad. DevSecOps juega un papel importante al agregar seguridad a los procesos de DevOps, incluido el escaneo de imágenes y contenedores en busca de errores y vulnerabilidades.

Un escáner de seguridad de contenedores lo ayudará a encontrar todas las vulnerabilidades dentro de sus contenedores y monitorearlos regularmente contra cualquier ataque, problema o error nuevo.

Exploremos las opciones disponibles.

claro

Clair es un proyecto de código abierto que ofrece seguridad estática y análisis de vulnerabilidades para contenedores docker y aplicaciones (appc).

Es un motor de análisis impulsado por API que verifica fallas de seguridad en los contenedores capa por capa. Puede crear servicios utilizando Clair, que puede monitorear sus contenedores continuamente en busca de vulnerabilidades de contenedores. Le notifica sobre una amenaza potencial en el contenedor. Le notifica sobre una amenaza potencial en el contenedor según la base de datos de vulnerabilidades y exposiciones comunes (CVE) y bases de datos similares.

Si se identifica alguna amenaza o problema que ya existe en la base de datos nacional de vulnerabilidades (NVD), recuperará los detalles y los proporcionará en el informe.

Tablero claro

Características claras:

Escanea en busca de vulnerabilidades existentes y evita que se introduzcan en el futuro. Proporciona API REST para la integración con otras herramientas Envía una notificación cuando identifica alguna vulnerabilidad Proporciona un informe en formato HTML con todos los detalles del análisis Actualiza los metadatos a intervalos regulares

ancla

Anchore es un proyecto de código abierto para el análisis profundo de imágenes acoplables.

También certifica una imagen acoplable que indica si está protegida o no. El motor de Anchore puede ejecutarse de forma independiente o en plataformas de orquestación como Kubernetes, Rancher, Amazon ECS, Docker Swarm. Anchore también está disponible en los complementos de Jenkins para escanear la canalización de CI/CD.

Debe enviar una imagen acoplable a Anchore, que analizará y le proporcionará los detalles si tiene alguna vulnerabilidad. También puede usar su política de seguridad personalizada para evaluar una imagen en Anchore.

tablero de anclaje

Puede acceder al motor de anclaje a través de la CLI o las API REST.

Características de anclaje:

Proporciona una inspección profunda de imágenes de contenedores, paquetes de SO, artefactos de software como archivos jar. Se integra perfectamente con su canalización de CI/CD para encontrar infracciones de seguridad. Define y aplica políticas para evitar la creación e implementación de imágenes peligrosas. Verifique solo imágenes certificadas y protegidas antes de implementarlas en una plataforma de orquestación. Personalice las comprobaciones de vulnerabilidades, archivos de configuración, secretos de imágenes, puertos expuestos, etc.

Dagda

Dagda es una herramienta de código abierto para el análisis estático de vulnerabilidades conocidas como troyanos, malware, virus, etc. en imágenes y contenedores de Docker. Utiliza el motor antivirus ClamAV para detectar dichas vulnerabilidades.

Primero importa todas las vulnerabilidades conocidas de CVE, Red Hat Security Advisories (RHSA), Red Hat Bug Advisories (RHBA), Bugtraq ID (BID), base de datos de seguridad ofensiva en un MongoDB. Luego, correspondiente a las vulnerabilidades importadas, se analizan las imágenes y los contenedores.

Características de Dagda:

Admite múltiples imágenes de Linux (CentOS, Ubuntu, OpenSUSE, Alpine, etc.) Analiza las dependencias de java, python node js, javascript, ruby, PHP Se integra con Falco para monitorear los contenedores en ejecución Almacena cada informe de análisis en MongoDB para mantener el historial de cada imagen acoplable o contenedor

Falcó

Falco es un proyecto de código abierto y un motor de detección de amenazas para Kubernetes. Es una herramienta de seguridad en tiempo de ejecución para detectar actividad anómala en hosts y contenedores que se ejecutan en Kubernetes. Detecta cualquier comportamiento inesperado en su aplicación y le alerta sobre las amenazas en tiempo de ejecución.

tablero falco

Utiliza una sintaxis similar a tcpdump para crear las reglas y aprovecha bibliotecas como libscap y libinsp que tienen la capacidad de ingresar y extraer datos de su servidor API de Kubernetes o su entorno de tiempo de ejecución de contenedor.

Luego, puede usar esos metadatos para conocer los pods, las etiquetas y los espacios de nombres para ir y crear reglas específicas para un espacio de nombres en particular o una imagen de contenedor en particular. Las reglas se centran en las llamadas al sistema y qué llamadas al sistema están permitidas y no permitidas en el sistema.

Seguridad acuática

Aqua Security protege las aplicaciones creadas con tecnologías nativas de la nube, como contenedores. Proporciona escaneo y administración de vulnerabilidades para orquestadores como Kubernetes.

Es una plataforma de seguridad integral para garantizar que las aplicaciones que se ejecutan en los contenedores sean seguras y se ejecuten en un entorno seguro.

A medida que los desarrolladores crean imágenes, tienen un conjunto de tecnologías y bibliotecas para crear sus imágenes. La seguridad de Aqua les permite escanear esas imágenes para asegurarse de que estén limpias, no tengan vulnerabilidades conocidas, no tengan contraseñas o secretos conocidos, y ningún tipo de amenaza de seguridad que pueda hacer que esa imagen sea vulnerable. .

tablero de seguridad aqua

Si se encuentra alguna vulnerabilidad, aqua security informa al desarrollador y recomienda lo que debe hacer para reparar esas imágenes vulnerables.

Aqua Security también tiene tecnologías para garantizar que no sea atacado ni penetrado por ninguna amenaza de seguridad una vez que el contenedor se pone en producción.

Banco Docker

Docker Bench Security es un script con múltiples pruebas automatizadas para verificar las mejores prácticas para implementar contenedores en producción.

Para ejecutar Docker Bench Security, debe tener Docker 1.13.0 o posterior.

Debe ejecutar el siguiente comando para ejecutar la seguridad del banco acoplable.

docker run -it --net host --pid host --userns host --cap-add audit_control \
-e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
-v /var/lib:/var/lib \
-v /var/run/docker.sock:/var/run/docker.sock \
-v /usr/lib/systemd:/usr/lib/systemd \
-v /etc:/etc --label docker_bench_security \
docker/docker-bench-security

Después de esto, el script se ejecutará y compartirá detalles para INFO, WARN, PASS. Después de ejecutar el script, puede verificar todos los mensajes de advertencia y hacer las correcciones.

seguridad del banco del estibador

Puerto

Harbor es un registro nativo en la nube confiable y de código abierto que proporciona políticas de seguridad y control de acceso basado en roles (RBAC). Almacena, firma y escanea imágenes acoplables en busca de vulnerabilidades. Se puede instalar en un clúster de Kubernetes o en cualquier otro sistema que admita Docker.

tablero del puerto

Características del puerto:

Fácilmente implementable usando Docker Compose Proporciona análisis de seguridad y vulnerabilidad Firma y validación de contenido multiinquilino Integración de identidad y control de acceso basado en funciones API extensible e interfaz de usuario Replicación de imágenes entre instancias Admite LDAP/AD y OIDC para administración y autenticación de usuarios

Rayos X de JFrog

JFrog Xray es una herramienta continua de análisis de artefactos universales y de seguridad de código abierto.

Con JFrog Xray, puede escanear continuamente sus artefactos y dependencias en busca de vulnerabilidades de seguridad y problemas de cumplimiento de licencias.

Como solución universal de análisis de artefactos, Xray identifica de manera proactiva las vulnerabilidades de seguridad y los riesgos de licencia. Antes de manifestarse en producción, Xray se integra de forma nativa con JFrog Artifactory proporcionando visibilidad en todos los metadatos del artefacto, incluido el estado de seguridad en una sola pantalla.

radiografía jfrog

La base de datos de JFrog Xray de nuevas vulnerabilidades y tecnologías se expande constantemente, lo que le permite realizar mejores juicios técnicos con menos compensaciones. Verifica todos sus componentes contra su creciente base de datos de nuevas vulnerabilidades y lo alerta sobre nuevos problemas incluso después del lanzamiento.

Es compatible con todos los tipos de paquetes y utiliza un análisis recursivo profundo para revisar todas las capas y dependencias subrayadas, incluso aquellas empaquetadas en imágenes de Docker y archivos zip. JFrog Xray también crea un gráfico de la estructura de sus artefactos y dependencias y un análisis de impacto de las vulnerabilidades y los problemas de licencia descubiertos.

Calificaciones

La seguridad de contenedores de Qualys es una herramienta que se utiliza para descubrir, rastrear y proteger continuamente los entornos de los contenedores. Busca vulnerabilidades dentro de imágenes o contenedores en la canalización de DevOps y las implementaciones en la nube o en entornos locales.

Qualys proporciona una versión gratuita de la aplicación de seguridad de contenedores para dar a los usuarios una idea de lo que puede ofrecer. Le ofrece una vista de las imágenes y los contenedores que se ejecutan en el entorno. Si desea escanearlos, debe tomar su suscripción paga.

También proporciona seguridad en tiempo de ejecución para contenedores al proporcionar un firewall de nivel de función para contenedores. Brinda una visibilidad profunda del comportamiento de los contenedores y protege la imagen y los contenedores en ejecución mediante la capa Qualys CRS (container runtime security).

Exploración acoplable

Aún así, en versión beta, Docker Scan aprovecha el motor Synk y es capaz de escanear Dockerfile local, imágenes y sus dependencias para encontrar vulnerabilidades conocidas. Puede ejecutar Docker Scan desde Docker Desktop.

docker scan mydockerimage

Conclusión

Ahora que sabe que existe un escáner de seguridad de contenedores, no hay excusa. Continúe e intente ver cómo pueden ayudarlo a mantener su aplicación en contenedores segura y protegida.

Publicaciones relacionadas

Botón volver arriba