新闻资讯

联系方式


深圳市科诺斯科技有限公司
电话:13510152286
邮箱:Cathy@codenurse.com
联系人:尚小姐
深圳市福田区泰然八路水松大厦四楼

安全资讯

当前位置 : 首页 > 安全资讯
你的容器有风险吗?
时间 : 2017/7/14    阅读 : 4230    发布:深圳市科诺斯科技有限公司

Container容器已经改变了企业在其环境中部署应用程序和服务的方式。虽然容器是轻量级和更高效的虚拟化技术的替代品,但它们通常存在的时间很短。敏捷开发环境的快速变化会为使用传统漏洞管理解决方案的安全团队带来重大风险。 Tenable.io™Container Security提供对容器IMAGE的深入漏洞评估,使您能够在部署容器之前评估容器的安全性。


容器和自动化运维

容器为DevOps团队提供了将应用程序构建和部署到生产环境中的简单方法。镜像通常直接从包含基本操作系统和Web应用程序和服务的脱机版本的公共存储库中提取。就像传统的应用程序和服务一样,容器可能已经过时,并且存在可能导致系统处于危险之中的漏洞。

容器和安全团队

对于安全团队来说,尝试评估容器的安全性可能会在容器根据需要部署或隐藏在Docker虚拟网络后面时面临许多挑战。容器通过Linux操作系统内核获得共享主机资源优势,实现快速交付并可在短时间内轻松部署、使用或删除应用程序。使用凭据的主动扫描通常无效,因为容器通常不包括登录并扫描容器的SSH守护程序。一些容器可能具有未公开暴露的孤立应用程序和服务,使得安全团队难以评估组织的整体风险。

Tenable.io Container Security

使用Tenable.io Container Security可以让您对容器内即将发生的情况可视化。准确的信息使开发人员能够及时确定和修复容器的风险。

开始使用Tenable.io Container Security非常容易,我们提供了一个免费的60天的试用。

现有Tenable.io客户可以登录Tenable.io并从“漏洞管理”工具栏中选择“容器安全”来激活试用。


在启动屏幕中,单击Try Container Security以启用您的60天免费试用版。

一旦您的试用被激活,您将被重定向到Tenable.io容器安全主页。

您可以从网络中的任何环境或平台轻松地将镜像推送到Tenable.ioContainer Security。要推送镜像,请先使用主机系统中的Tenable.io容器安全凭证登录。

$ docker login -u TENABLE_IO_CONTAINER_SECURITY_USERNAME-p TENABLE_IO_CONTAINER_SECURITY_PASSWORD registry.cloud.tenable.com

要获取现有容器镜像的完整列表,请输入以下内容:

$ docker images

一旦识别出您想要上传的镜像,请输入相关的Docker镜像ID,存储库名称,容器镜像和标签。请注意,使用标签开关是可选的,默认情况下系统将在标签字段内使用“最新”。

$ docker tag <imageID> 
registry.cloud.tenable.com/<repository>/<image>:<tag>

标记后,您可以将容器镜像推送到registry.cloud.tenable.com。

$ docker push registry.cloud.tenable.com/<repository>/<image>:<tag>

要关闭会话,请使用docker logout命令从主机中删除登录凭据:

$ docker logout registry.cloud.tenable.com

仪表盘

仪表盘为管理整个容器的安全性风险提供了全面的信息,结果包括发现的镜像、漏洞和恶意软件的数量,使您能够快速确定哪些容器处于危险之中。

存储库可以手动创建,也可以自动从现有的容器注册表中推送或拉出。 Tenable.ioContainer Security包括一个存储库索引,它突出显示每个存储库的镜像数量,总体大小以及该存储库中检测到的漏洞或恶意软件的数量。您可以轻松地深入到任何提供有关检测到的服务的信息的存储库,镜像或标记以及镜像中可能存在的漏洞。

扫描每个容器图像的结果包括上次分析镜像的时间,总体风险评分以及HTML,JSON和Nessus v2文件格式的结果列表。

图层

Tenable.io Container Security存储和分析容器注册表中的每一层漏洞和恶意软件。扫描结果包括总体风险评分信息,CVSS评分漏洞分布情况以及CVE漏洞列表。在系统部署到生产之前,请使用此信息来帮助缩小和修复漏洞。

策略

Tenable.io Container Security支持基于规则的策略,可帮助您过滤扫描结果并突出显示与您的组织相关的特定漏洞数据。策略可以全局应用于特定的存储库,可以突出显示特定的CVE,CVSS值,还是检测到恶意软件。

添加符合组织应用程序安全策略的规则后,您可以通过拖放来组织规则的评估方式。

扫描结果

结果包括总体风险评分和有关容器镜像的信息,包括基本操作系统(OS)和版本。对于想要扫描开发环境和生产环境之间的变化的团队,结果还会为推送到Tenable.io容器安全性的每个映像都添加独特的SHA256校验和。使用Tenable.io容器安全风险评估框架,测量漏洞以帮助您确定对您的环境的风险。

随着容器图像被上传到Tenable.io容器安全,它们将自动扫描漏洞和恶意软件。一旦发现一个漏洞,产品就会自动针对新漏洞重新扫描所有存储的容器图像,从而确保持续的保护。

对于DevOps团队,Tenable.ioContainer Security提供与Jenkins,Bamboo,Shippable,Travis CI等其他常见构建系统的集成,以及软件开发人员使用的其他持续集成/持续部署工具。这使您能够将图像从私有注册表推送到Tenable.io容器安全。