Comme la plupart des pros savent, les conteneurs d'applications -- Docker, cr, etc. -- et l'orchestration des éléments employés pour les soutenir, comme Kubernetes, sont de plus en plus utilisés dans de nombreuses organisations.
Souvent, l'organisation de la sécurité n'est pas exactement le premier arrêt sur le chemin pour le déploiement de ces outils. (Si elle était dans votre boutique, considérez-vous chanceux.) Au lieu de cela, l'usage tend à émerger à partir de la base. Il commence avec les développeurs à l'aide de conteneurs sur leurs postes de travail pour rationaliser les tests unitaires et de l'environnement de configuration, construit la traction que l'intégration des processus d'adaptation aux "intégration continue" approche facilitée par conteneurs; et, finalement, les gains d'acceptation dans l'ensemble de la production du paysage.
En bref, comme c'est souvent le cas, la sécurité de nombreux pros savoir à propos de l'utilisation lorsque leur organisation est déjà en taille-profond en elle.
Cela met les praticiens de la sécurité dans un peu de rock et de hard-lieu de la situation. Non seulement nous avons besoin de sécuriser le conteneur d'exécution et l'orchestration des environnements-nous avons besoin de le faire en même temps que nous donner l'assurance pour les applications, le soutien des bibliothèques, des composants middleware, etc., stockée à l'intérieur de ces conteneurs.
Nous avons besoin de faire tout cela sans sacrifier à la qualité et à la rigueur des efforts dans d'autres domaines, tandis que le renforcement de l'expertise sur les nuances des différents conteneur des moteurs, l'orchestration des environnements, microservice architecture des approches et des technologies de cloud que l'appui de leur utilisation.
Son défi? Vous pariez qu'il est.
Cela signifie que les professionnels de l'informatique sécurité-en particulier ceux sur la plus technique de la fin du spectre -- besoin de tous les avantages qu'ils peuvent obtenir quand il s'agit de la sécurisation des conteneurs. Tout "multiplicateur de force" permet: de l'automatisation, de la découverte et de la visibilité des outils, une meilleure surveillance, etc.
Il existe de nombreux outils commerciaux là-bas qui peuvent aider dans ces domaines (et dans beaucoup d'autres), mais parfois vous avez besoin d'aide maintenant. Vous ne pouvez pas être en mesure d'attendre un cycle budgétaire d'acheter un outil sur l'étagère. Dans ce cas, ouvrez les options de la source peut fournir une bretelle d'accès sans attente de budget.
Ce qui est dans le Conteneur?
Maintenant, il y a quelques outils open source qui fait un plongeon dans la sécurité des conteneurs du monde, mais la je vais me concentrer ici sur Anchore Moteur, qui vise à un défi beaucoup d'organisations ont: plus précisément, le déballage, la validation et la fourniture d'une assurance pour conteneur de contenu.
Anchore Moteur est un open source (Licence Apache 2.0) de projet qui peut vous aider de deux manières, hors de la boîte. Tout d'abord, il va vous donner une analyse de ce qui est à l'intérieur d'un conteneur. Cela comprend la fourniture d'un inventaire des logiciels, des deux composants du système d'exploitation et de soutien de paquets) et des artefacts comme les versions de JRE, intermédiaire des bibliothèques, etc.
"Anchore Engine est un outil open source pour la réalisation d'une inspection en profondeur de conteneur des images", a déclaré Ross Turk, Anchore vice-président du marketing. "Ces images peuvent contenir un ensemble beaucoup: modules de système d'exploitation, la langue des bibliothèques, des informations d'identification et de secrets, et de la configuration qui affecte la manière dont les conteneurs sont exécutées. Anchore Moteur s'aplatit et se décompresse l'image, couche par couche, d'inventaires et de ce qui est à l'intérieur."
Cette information est utile, non seulement parce qu'il fournit des informations sur ce logiciel devra être mis à jour en cas de correctifs de sécurité ou des mises à jour, mais aussi parce qu'il vous donne de la visibilité dans la mise en œuvre d'applications et de services, avant, après, ou pendant leur rejet dans l'environnement de production. Il peut en informer les logiciels les examens de l'architecture, la modélisation des menaces, des conversations sur les secrets de la gestion, des activités de vérification et d'examen de la conception, entre autres choses.
Il est également utile, car il peut vous aider à comprendre d'où des problèmes pourraient être dans des contenants individuels. Par exemple, vous pouvez l'utiliser pour analyser les vulnérabilités (classés par références CVE) sont présents sur le conteneur en vertu de l'installation du logiciel.
D'une certaine façon, il est semblable à obtenir de l'analyse de la vulnérabilité des résultats pour vos contenants; cependant, à la différence de l'analyse de vulnérabilité, le conteneur n'a pas besoin d'être "live" pour recueillir cette information. Donc, si vous avez un sérialisé conteneur (par exemple stockée dans un registre ou sur une station de travail du développeur), vous pouvez toujours obtenir des informations sur ce vulnérabilités peuvent impact du logiciel sur ces contenants.
L'Intégration Dans Votre Environnement
Il y a, bien sûr, de nombreux autres outils qui font des choses similaires -- de certaines entreprises ainsi que les autres options de la source. Peu importe si vous êtes déjà à planifier ou de l'évaluation d'autres options pour ce faire, un avantage que l'option open source offre (et, le cas Anchore Moteur excelle), c'est que vous pouvez coup de pied les pneus et commencer tout de suite.
Il y a deux avantages à cela. Tout d'abord, il y a la sécurité immédiate de la valeur, sans avoir besoin d'attendre pour un budget de cycle ou d'un long cycle d'intégration. C'est un pis-aller, même si vous choisissez finalement de mener une enquête (ou aller avec) une autre offre de produits. Vous pouvez vous faire une idée de la valeur fournie par les outils de ce genre, et vous pouvez commencer à recueillir de l'information immédiatement.
Le deuxième avantage est qu'il vous permet d'expérimenter. Vous pouvez expérimenter avec où et comment intégrer les données fournies par l'outil dans votre communiqué de pipelines ou de processus opérationnels.
Gardez à l'esprit qu'il existe de nombreuses options ici. Vous pouvez décider, par exemple, que vous allez vous concentrer sur le côté gauche de l'équation et de permettre aux développeurs d'examiner et d'évaluer les conteneurs eux-mêmes-par exemple, par la formation sur la façon de minimiser inutiles code de prise en charge, rassis, des bibliothèques, des paquets inutiles, ou connus de personnes vulnérables à des versions de logiciels.
Sinon, vous pouvez décider que la fonctionnalité est le plus précieux dans votre CI/CD pipeline, et vous pouvez écrire des scripts pour automatiser l'évaluation en tant que contenant les images font leur chemin à travers. Enfin, vous pouvez décider que vous souhaitez recueillir de meilleures informations sur conteneur des images déjà en production, et l'utilisation de l'outil comme un moyen de recueillir des informations sur ce que vous avez déjà déployé.
Turk décrit comment-et pourquoi, les organisations ont commencé avec l'utilisation.
"Nous croyons qu'au plus profond de l'image d'inspection devrait être une meilleure pratique pour tous ceux qui travaillent avec des conteneurs," dit-il. "Anchore Moteur est libre et open source et peut être facilement intégré dans n'importe quel CI/CD système. Il n'y a vraiment aucune raison de ne pas numériser des images avant de les publier ou de les déployer, et Anchore Moteur est livré avec un out-of-the-box de la politique qui peut déclencher une alarme pour les plus couramment rencontrés, les vulnérabilités. Nous recommandons que tous les développeurs d'intégrer de numérisation d'images dans leur flux de travail, idéalement par le biais d'un des nombreux disponibles CI/CD intégrations."
Peu importe où et comment vous décidez de l'utiliser, il est rapide sur la rampe. Vous pouvez obtenir en place et fonctionne avec cinq commandes bash sur un système de connectivité et de Docker Composent déjà installé. Pas de dollar d'investissement est nécessaire pour commencer. Comment pouvez-vous battre?