云科技网络验证源码_面向虚拟化架构和容器云的开源安全工具

随着云和虚拟技术发展,docker容器的使用越来越流行和方便。有很多企业已经把基础架构由传统实体机转移到了虚拟机化架构,基于公有云、私有云以及容器云构建在线服务。与容器相关的安全性对变得越来越重要。与传统的安全性方法相比,虚拟化架构架构上的差异完全需要不同的安全性方法,必须要在服务构建过程的早期阶段了解并执行特定的容器安全性扫描。为了应对虚拟化容器云架构下的安全需求,本文介绍虫虫给大家介绍一些在虚拟化云架构和容器环境下一些开源安全工具。

Sysdig Falco

Falco是由Sysdig创建,支持K8S的开源安全审计工具。Falco是Cloud Native Computing Foundation(CNCF)组成部分,它提供了对容器、网络和主机活动的行为监视。

ea0cf73cb7ce2fa98cac39f6334f4b2b.png

Falco最开始是设计用于Linux的主机入侵检测系统,但是其对于容器系统的container.id、container.image或其规则的命名空间也适用,所以可以用于对docker容器的行为探测,基于一个容器探测器,可以实现对容器行为的深入洞察,检测恶意或未知行为,并通过日志记录和通知向用户发送警报。

Falco可以跟踪和分析容器内部发生的动作的行为,包括Linux系统调用。Falco跟踪基于容器的事件,包括:

容器内运行的shellcode;

在特权模式下运行的任何容器

从主机装入任何敏感目录路径(例如/ proc);

意外读取敏感文件的尝试(例如/etc/shadow);

使用任何标准系统二进制文件进行出站网络连接。

一旦检测到任何恶意行为,例如使用特定的系统调用,特定的参数或调用过程的属性,它便可以向管理员发送警报。

当前版本:0.21.0

项目地址:https://falco.org/

源码仓库:https://github.com/falcosecurity/falco

OpenSCAP

OpenSCAP是一个命令行审核工具,可以扫描,加载,编辑,验证和导出SCAP文档。SCAP(安全内容自动化协议)是用于企业级Linux基础结构的合规性检查的解决方案,由NIST维护。它使用可扩展配置清单描述格式(XCCDF)显示清单内容并概述Linux安全情况总结合规性情况。

OpenSCAP提供了一组用于合规性管理和扫描的工具,借助oscap-docker等工具支持对容器镜像的扫描。OpenSCAP还可以帮助用户扫描XCCDF之类的合规性。该软件包还具有其他一些工具/组件:

OpenSCAP Base 用于执行配置和漏洞扫描;

OpenSCAP Daemon在后台运行的服务;

SCAP Workbench 一种提供执行常见oscap任务的简便方法图形界面;

SCAPtimony 存储用于用户基础结构的SCAP结果的中间件。

4e366e9c66aa07b323e8f70b6f4ab6ea.png

当前版本:1.3.2

项目地址:http://www.open-scap.org/

源码仓库:https://github.com/OpenSCAP/openscap

Clair

75ca7926978c008d1b50e0585b8958db.png

Clair是一个开源漏洞扫描程序和静态分析工具,用于分析appc和docker容器中的漏洞。

Clair会定期从多个来源收集漏洞信息,并将其存储在数据库中。它提供了公开API供客户端执行和扫描调用,用户可以使用Clair API列出其容器镜像,创建镜像中功能的列表并在数据库中保存。当发生漏洞元数据更新时,可以通过Webhook触发送警报/通知将漏洞的先前状态和新状态以及受影响镜像发送到配置的用户。作为部署脚本的一部分,Clair支持多种第三方工具来从终端扫描镜像。比如Klar,就是是很好的选择之一

该工具的安装详细信息在GitHub上可用,可以以Docker容器的方式运行。它还提供Docker Compose文件和Helm Chart,以简化安装过程,也可以从源代码进行编译。

Clair项目的目标是促进以透明的方式了解基于容器的基础架构的安全性。所以,项目以法语单词命名,法语单词具有明亮,清晰和透明的英语含义

当前版本:2.0.2

项目地址:https://coreos.com/clair/docs/latest/

源码仓库:https://github.com/quay/clair

Dagda

Dagda是一种开源的静态分析工具,用于对Docker镜像或容器中的已知漏洞,恶意软件,病毒,特洛伊木马和其他恶意威胁执行静态分析。Dagda可以监控Docker守护程序并运行Docker容器以发现违规或不常见的活动。该工具支持常见的Linux基本镜像,例如Red Hat,CentOS,Fedora,Debian,Ubuntu,OpenSUSE和Alpine等。

9dccf03c4e80c315f6cb812772493794.png

Dagda附带一个Docker Compose文件,可以轻松运行评估。Dagda虽然支持对容器的监视,但是必须与Sysdig Falco集成。Dagda不支持对容器注册表或存储库扫描,更适于手动按需扫描。

Dagda部署后,可以从CVS数据库下载已知漏洞和其利用POC并保存到MongoDB中。然后,它会收集有Docker镜像中的软件的详细信息,并和MongoDB中先前存储的详细信息进行比对验证每个产品及其版本是否没有漏洞。

Dagda可以将ClamAV作为防病毒引擎,用于识别Docker容器/镜像中包含的木马,恶意软件,病毒和其他恶意威胁。

Dagda主要目标用户是系统管理员,开发人员和安全专业人员。

当前版本:0.7.0

源码仓库:https://github.com/eliasgranderubio/dagda

Anchore Engine

Anchore Engine是一个开放源码的DevSecOps全栈安全工具,旨在分析和扫描容器镜像中的漏洞。该工具可以作为Docker容器镜像使用,可以作为独立安装或在业务流程平台中运行。Anchore Engine可让用户能够识别、测试和解决创建应用程序的Docker镜像中的漏洞。其企业版OSS提供了策略管理,摘要仪表板,用户管理,安全和策略评估报告,图形客户端控件以及其他后端模块和功能。

f9d35c51b43c3c4c4fa3effda0cf5dd5.png

Anchore Engine提供Docker compose文件,可以一键构建docker容器安装。它支持后端/服务器端组件,可以通过CLI工具(例如Anchore CLI或Jenkins插件)的形式进行扫描。它还可以对仓库中的添标签,添加后,它将定期轮询容器注册表,其进行分析。用户还可以使用添加新查询,策略和图像分析的插件来扩展Anchore Engine。可以通过RESTful API或Anchore CLI直接访问。

当前版本:0.7.0

项目地址:https://anchore.com/

源码仓库:https://github.com/anchore/anchore-engine

总结

开源安全工具在保护基于容器的基础结构中起着重要作用。我们可以根据业务需求和优先级选择适宜的工具(组合)进行云架构下安全保障:比如使用OpenSCAP和Clair进行合规性分析,使用Falco进行安全审计,使用Dagda可以用于对已知漏洞进行静态分析,用Anchore之进行组合安全保障。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/505683.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

linux ubuntu 安装yum,ubuntu使用yum安装软件问题

其实ubuntu是不应该用yum来管理软件安装的,只是后来才发现的,这里记录一下尝试的过程。一开始是想把windows桌面上的文件拖到xshell登录的ubuntu的目录中,但是没成功,参考https://blog.csdn.net/liuao107329/article/details/4999…

kali linux 桌面消失_kalilinux系统设置不见了的解决方案

kalilinux的系统设置不见了是由于删除软件或者错误配置导致的,解决方法是重新安装桌面环境。下面我给出几个不同桌面环境。KDE桌面1.KDE Plasma Desktop (最小化的等离子桌面)安装:apt-get install kali-defaults kali-root-login desktop-base kde-plas…

linux异步实现原理,Android异步处理四:AsyncTask的实现原理

分析:在分析实现流程之前,我们先了解一下AsyncTask有哪些成员变量。privatestaticfinalintCORE_POOL_SIZE 5;//5个核心工作线程privatestaticfinalintMAXIMUM_POOL_SIZE 128;//最多128个工作线程privatestaticfinalintKEEP_ALIVE 1;//空闲线程的超时时间…

ue4集合类型_UE4项目问题集合

debugeditor模式下,在LoadPackage过程中crash,vs报出Stack overflow的错误这是由于Package层数过多,vs栈不够用导致的。而ue4用UBT导致不能直接修改项目的栈大小。之前项目后期就因为这个崩溃导致大家没法再用debug模式进行开发。直接的解决办…

mysql5.7 for linux7,大道浮屠诀---mysql5.7.28 for linux安装

环境:redhat6.5安装RMP包的具体操作如下:1、如有mariadb,先卸载rpm -qa |grep mariadbrpm -qa |grep mysql*rpm -e --nodeps xxxxxx (卸载查询到的rpm包)2、安装新的mysql5.7.28,解压安装包tar -xvf mysql-5.7.28-1.el6.x86_64.rpm-bundle.t…

python中提供怎样的内置库、可以用来创建用户界面_使用外部GUI库在Autodesk中创建用户界面可能会...

我不确定这是否有关联,但一些谷歌搜索发现PyQt在玛雅内部非常流行。您可以尝试使用here或here(用源代码解释了here)通过Maya创建一个新的线程循环并在其中执行。似乎Maya包含了一个模块,用于设置新的线程对象,其中包含一个QApplication&#…

做raid会损坏linux文件吗,如何从损坏的RAID系统挂载磁盘?

我有一个可怕的情况,我必须在救援的Debian Linux中从损坏的RAID系统中恢复数据。我只想以只读方式将它们全部挂载到/ mnt / rescue,以便能够将VMWare GSX映像复制到另一台计算机上,并稍后将它们迁移到ESXi。相关命令的输出如下。fdisk -lDisk…

flutter字体不跟随系统_Flutter自定义字体无法加载

SOLVED :我仍然不确定问题是什么,但我通过简单地创建一个新的Flutter项目,在新项目中设置字体,然后将我的.dart文件粘贴到新项目中来修复它 . 即使一切都完全相同(据我所知),它运作良好 . 去搞清楚 .我试图在我的应用程…

c语言求乘法,急!!!!c语言:求n次多项式的加法和乘法

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼if(s->data.coef!0.0){s->data.expnp->data.expn;r->nexts;rs;}pp->next;qq->next;break;case 1:s->data.coefq->data.coef;s->data.expnq->data.expn;r->nexts;rs;qq->next;break;}//switch}…

一维数组kmeans聚类c语言,一维数组的 K-Means 聚类算法理解

刚看了这个算法,理解如下,放在这里,备忘,如有错误的地方,请指出,谢谢需要做聚类的数组我们称之为【源数组】需要一个分组个数K变量来标记需要分多少个组,这个数组我们称之为【聚类中心数组】及一…

ktor框架用到了netty吗_Ktor-构建异步服务器和客户端的 Kotlin 框架

软件简介Ktor 是一个使用 Kotlin 以最小的成本快速创建 Web 应用程序的框架。Ktor 是一个用于在连接系统(connected systems)中构建异步服务器和客户端的 Kotlin 框架。它由 Kotlin团队创建,因此,它充分利用了 Kotlin 的语言特性,为开发者提供…

c语言根据图片轮廓图,c语言通过opencv实现轮廓处理与切割

c语言通过opencv实现轮廓处理与切割发布时间:2020-10-14 11:00:33来源:脚本之家阅读:89作者:Farmwang注意在寻找轮廓时要选择中寻找外层轮廓RETR_EXTERNAL#include "opencv/cv.h"#include "opencv/highgui.h"…

多层协议解析 c语言,基于DPI的应用层协议书解析.doc

专业资料精心整理摘要随着互联网在中国的迅速发展,全国各大网络运营商的网络规模都在不断扩张,网络结构日渐复杂,网络业务日趋丰富,网络流量高速增长,这使得网络管理的要求和难度都大大提高。因此,网络运营…

r4900g3系统安装linux_H3C UniServer R4900 G3服务器NVMe硬盘配置阵列方法以及相关操作...

一.配置NVMe硬盘的前期准备1. 安装Intel NVMe VROC 秘钥模块,该选件全称为H3C-RS3M1NVS-Intel NVMe VROC模块是一个硬件安装到主板上的NVMe SSD VROC模块接口上。Intel NVMe VROC 秘钥模块一共有如下三个版本:标准版:支持创建RAID 0、RAID 1和…

员工任务管理系统c语言,C语言职工信息管理系统课程设计任务书.docx

C语言课程设计任务书一、题目:职工信息管理系统二、目的和要求目的:要求熟练掌握C语言的基本知识和编辑技能;基本掌握结构化程序设计的基本思路和方法。要求:设计一个职工信息管理系统,使之能提供以下功能:…

android 判断 string 是否是字母数字,Android中判断字符串中必须包含字母或者数字...

public static boolean isLetterDigit(String str){boolean isDigit false;//定义一个boolean值,用来表示是否包含数字boolean isLetter false;//定义一个boolean值,用来表示是否包含字母for(int i0 ; iif(Character.isDigit(str.charAt(i))){ //用cha…

server 群辉emby_群晖容器中搭建支持硬件编码的Emby Server教程及注意事项

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼我装的ubt20,intel显卡已经GVT-t直通给群晖虚拟机,再映射给EMBY的docker了,权限什么都给了,命令测试都正常一播放就只会选择软解,CPU100%,不知道怎么回事rootd…

笛卡尔心形函数表达式_如何用几何画板画笛卡尔心形函数

七夕节是个浪漫的节日,利用几何画板这个强大的绘图软件也可以对心爱的人表示!笛卡尔心形线像极了人的一颗心,用来表达爱意再好不过了。本文我们来介绍具体步骤如下:1.新建参数。右键绘图区空白处,“新建参数”&#xf…

android 指定语言的资源,Android国际化多语言切换

最近工作中突然要求要项目进行国际化,之前没遇到过。但是也很简单呀,只需要把添加一个相应语言的的strings.xml的资源文件就好了,不是吗?这样只要切换系统语言就能切换app的文字语言了。但是由此引发了一个稍微深入一点的问题&…

plotwidget横坐标日期_plotly详解(标签)x轴日期标签、y轴百分比标签设置

在作图中,我们需要根据自己的业务来更改x轴y轴的标签。注意,坐标轴的修改已经不算做画图了,因为他不是图上的线条或轨迹(trace)了,所以用layout来设置。1>显示或者不显示坐标轴标签。fig.update_layout(xaxis dict(visible Fa…