云科技网络验证源码_面向虚拟化架构和容器云的开源安全工具

随着云和虚拟技术发展,docker容器的使用越来越流行和方便。有很多企业已经把基础架构由传统实体机转移到了虚拟机化架构,基于公有云、私有云以及容器云构建在线服务。与容器相关的安全性对变得越来越重要。与传统的安全性方法相比,虚拟化架构架构上的差异完全需要不同的安全性方法,必须要在服务构建过程的早期阶段了解并执行特定的容器安全性扫描。为了应对虚拟化容器云架构下的安全需求,本文介绍虫虫给大家介绍一些在虚拟化云架构和容器环境下一些开源安全工具。

Sysdig Falco

Falco是由Sysdig创建,支持K8S的开源安全审计工具。Falco是Cloud Native Computing Foundation(CNCF)组成部分,它提供了对容器、网络和主机活动的行为监视。

ea0cf73cb7ce2fa98cac39f6334f4b2b.png

Falco最开始是设计用于Linux的主机入侵检测系统,但是其对于容器系统的container.id、container.image或其规则的命名空间也适用,所以可以用于对docker容器的行为探测,基于一个容器探测器,可以实现对容器行为的深入洞察,检测恶意或未知行为,并通过日志记录和通知向用户发送警报。

Falco可以跟踪和分析容器内部发生的动作的行为,包括Linux系统调用。Falco跟踪基于容器的事件,包括:

容器内运行的shellcode;

在特权模式下运行的任何容器

从主机装入任何敏感目录路径(例如/ proc);

意外读取敏感文件的尝试(例如/etc/shadow);

使用任何标准系统二进制文件进行出站网络连接。

一旦检测到任何恶意行为,例如使用特定的系统调用,特定的参数或调用过程的属性,它便可以向管理员发送警报。

当前版本:0.21.0

项目地址:https://falco.org/

源码仓库:https://github.com/falcosecurity/falco

OpenSCAP

OpenSCAP是一个命令行审核工具,可以扫描,加载,编辑,验证和导出SCAP文档。SCAP(安全内容自动化协议)是用于企业级Linux基础结构的合规性检查的解决方案,由NIST维护。它使用可扩展配置清单描述格式(XCCDF)显示清单内容并概述Linux安全情况总结合规性情况。

OpenSCAP提供了一组用于合规性管理和扫描的工具,借助oscap-docker等工具支持对容器镜像的扫描。OpenSCAP还可以帮助用户扫描XCCDF之类的合规性。该软件包还具有其他一些工具/组件:

OpenSCAP Base 用于执行配置和漏洞扫描;

OpenSCAP Daemon在后台运行的服务;

SCAP Workbench 一种提供执行常见oscap任务的简便方法图形界面;

SCAPtimony 存储用于用户基础结构的SCAP结果的中间件。

4e366e9c66aa07b323e8f70b6f4ab6ea.png

当前版本:1.3.2

项目地址:http://www.open-scap.org/

源码仓库:https://github.com/OpenSCAP/openscap

Clair

75ca7926978c008d1b50e0585b8958db.png

Clair是一个开源漏洞扫描程序和静态分析工具,用于分析appc和docker容器中的漏洞。

Clair会定期从多个来源收集漏洞信息,并将其存储在数据库中。它提供了公开API供客户端执行和扫描调用,用户可以使用Clair API列出其容器镜像,创建镜像中功能的列表并在数据库中保存。当发生漏洞元数据更新时,可以通过Webhook触发送警报/通知将漏洞的先前状态和新状态以及受影响镜像发送到配置的用户。作为部署脚本的一部分,Clair支持多种第三方工具来从终端扫描镜像。比如Klar,就是是很好的选择之一

该工具的安装详细信息在GitHub上可用,可以以Docker容器的方式运行。它还提供Docker Compose文件和Helm Chart,以简化安装过程,也可以从源代码进行编译。

Clair项目的目标是促进以透明的方式了解基于容器的基础架构的安全性。所以,项目以法语单词命名,法语单词具有明亮,清晰和透明的英语含义

当前版本:2.0.2

项目地址:https://coreos.com/clair/docs/latest/

源码仓库:https://github.com/quay/clair

Dagda

Dagda是一种开源的静态分析工具,用于对Docker镜像或容器中的已知漏洞,恶意软件,病毒,特洛伊木马和其他恶意威胁执行静态分析。Dagda可以监控Docker守护程序并运行Docker容器以发现违规或不常见的活动。该工具支持常见的Linux基本镜像,例如Red Hat,CentOS,Fedora,Debian,Ubuntu,OpenSUSE和Alpine等。

9dccf03c4e80c315f6cb812772493794.png

Dagda附带一个Docker Compose文件,可以轻松运行评估。Dagda虽然支持对容器的监视,但是必须与Sysdig Falco集成。Dagda不支持对容器注册表或存储库扫描,更适于手动按需扫描。

Dagda部署后,可以从CVS数据库下载已知漏洞和其利用POC并保存到MongoDB中。然后,它会收集有Docker镜像中的软件的详细信息,并和MongoDB中先前存储的详细信息进行比对验证每个产品及其版本是否没有漏洞。

Dagda可以将ClamAV作为防病毒引擎,用于识别Docker容器/镜像中包含的木马,恶意软件,病毒和其他恶意威胁。

Dagda主要目标用户是系统管理员,开发人员和安全专业人员。

当前版本:0.7.0

源码仓库:https://github.com/eliasgranderubio/dagda

Anchore Engine

Anchore Engine是一个开放源码的DevSecOps全栈安全工具,旨在分析和扫描容器镜像中的漏洞。该工具可以作为Docker容器镜像使用,可以作为独立安装或在业务流程平台中运行。Anchore Engine可让用户能够识别、测试和解决创建应用程序的Docker镜像中的漏洞。其企业版OSS提供了策略管理,摘要仪表板,用户管理,安全和策略评估报告,图形客户端控件以及其他后端模块和功能。

f9d35c51b43c3c4c4fa3effda0cf5dd5.png

Anchore Engine提供Docker compose文件,可以一键构建docker容器安装。它支持后端/服务器端组件,可以通过CLI工具(例如Anchore CLI或Jenkins插件)的形式进行扫描。它还可以对仓库中的添标签,添加后,它将定期轮询容器注册表,其进行分析。用户还可以使用添加新查询,策略和图像分析的插件来扩展Anchore Engine。可以通过RESTful API或Anchore CLI直接访问。

当前版本:0.7.0

项目地址:https://anchore.com/

源码仓库:https://github.com/anchore/anchore-engine

总结

开源安全工具在保护基于容器的基础结构中起着重要作用。我们可以根据业务需求和优先级选择适宜的工具(组合)进行云架构下安全保障:比如使用OpenSCAP和Clair进行合规性分析,使用Falco进行安全审计,使用Dagda可以用于对已知漏洞进行静态分析,用Anchore之进行组合安全保障。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/505683.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

linux ubuntu 安装yum,ubuntu使用yum安装软件问题

其实ubuntu是不应该用yum来管理软件安装的,只是后来才发现的,这里记录一下尝试的过程。一开始是想把windows桌面上的文件拖到xshell登录的ubuntu的目录中,但是没成功,参考https://blog.csdn.net/liuao107329/article/details/4999…

linux异步实现原理,Android异步处理四:AsyncTask的实现原理

分析:在分析实现流程之前,我们先了解一下AsyncTask有哪些成员变量。privatestaticfinalintCORE_POOL_SIZE 5;//5个核心工作线程privatestaticfinalintMAXIMUM_POOL_SIZE 128;//最多128个工作线程privatestaticfinalintKEEP_ALIVE 1;//空闲线程的超时时间…

mysql5.7 for linux7,大道浮屠诀---mysql5.7.28 for linux安装

环境:redhat6.5安装RMP包的具体操作如下:1、如有mariadb,先卸载rpm -qa |grep mariadbrpm -qa |grep mysql*rpm -e --nodeps xxxxxx (卸载查询到的rpm包)2、安装新的mysql5.7.28,解压安装包tar -xvf mysql-5.7.28-1.el6.x86_64.rpm-bundle.t…

一维数组kmeans聚类c语言,一维数组的 K-Means 聚类算法理解

刚看了这个算法,理解如下,放在这里,备忘,如有错误的地方,请指出,谢谢需要做聚类的数组我们称之为【源数组】需要一个分组个数K变量来标记需要分多少个组,这个数组我们称之为【聚类中心数组】及一…

c语言根据图片轮廓图,c语言通过opencv实现轮廓处理与切割

c语言通过opencv实现轮廓处理与切割发布时间:2020-10-14 11:00:33来源:脚本之家阅读:89作者:Farmwang注意在寻找轮廓时要选择中寻找外层轮廓RETR_EXTERNAL#include "opencv/cv.h"#include "opencv/highgui.h"…

android 指定语言的资源,Android国际化多语言切换

最近工作中突然要求要项目进行国际化,之前没遇到过。但是也很简单呀,只需要把添加一个相应语言的的strings.xml的资源文件就好了,不是吗?这样只要切换系统语言就能切换app的文字语言了。但是由此引发了一个稍微深入一点的问题&…

Android 抖音爱心动画,Android实现抖音心形函数

刷抖音的时候,无意间刷到 心形函数的动画,觉得很有意思, 就简单的用Android的方式实现了一下.心形函数公式公式 :心形公式X的取值范围:[-1.81,1.81],该取值范围是保证正弦函数有效取值范围。我们可以通过参数 a 的取值, 来形成不同的心形轮廓, 进而形成动…

android手机解除root,手机显示被root什么意思(手机root怎么解除)

手机root后有什么坏处?如何一键获取手机ROOT权限?在信息时代的大环境下,“黑科技”夺走了大部分的眼球,获取手机root属于所有安卓手机的最大黑科技,也是最基础的搞机技能,本篇就给大家讲解下手机root权限获…

Android11MIUI12,安卓11版MIUI12来了,3款已适配

原标题:安卓11版MIUI12来了,3款已适配现在安卓11系统第二个测试版升级更新都已经推送了,不知道各位有没有升级更新到安卓11系统体验一下新系统。不知道你的手机能不能升级安卓11系统,厂商有没有为你的手机适配安卓11系统&#xff…

html修改details范围,HTML details 标签

HTML 标签标签用于创建一个可展开折叠的元件,用户可以从中检索其他附加的信息。实例使用 元素:Copyright 1999-2011.- by Refsnes Data. All Rights Reserved.All content and graphics on this web site are the property of the company Refsnes Data.…

html中如何设计对话框,用纯css3和html制作泡沫对话框实现代码

现在,泡沫对话框是一种比较流行的趋势,一般都是用html和javascript,和或者图片来实现,今天用纯css3和html来实现一些基本的简单的泡沫对话框html代码如下:复制代码代码如下:The basic bubble variantsThis only needs …

html获取此次点击的id,github项目解析(八)--Activity启动过程中获取组件宽高的三种方式...

转载请标明出处:1片枫叶的专栏上1个github小项目中我们介绍了避免按钮重复点击的小框架,其实现的核心逻辑是重写OnClickListener的onClick方法,添加避免重复点击的逻辑,即为第2次点击与第1次点击的时间间隔添加阙值,若…

minitab怎么算西格玛水平_16:三因子二水平全因子实验设计和MINITAB应用训练

16:思慧慧咨询官网――精益生产、六西格玛黑带、绿带、TRIZ创新发明、实验设计DOE、价值工程、全面设备管理(TPM)培训和项目咨询​www.sihuide.com分享地址:千聊入口1 https://m.qlchat.com/topic/details?topicId20000087131743…

html css position,[CSS]CSS Position 详解

一. CSS position 属性介绍CSS中position属性指定一个元素(静态的,相对的,绝对或固定)的定位方法的类型。有static,relative,absolute和fixed四种取值,默认是static。二. position: staticstatic:没有定位&…

win2008无法用计算机名共享,Windows Server 2008 R2中文件共享

在网上找过很多次相关资料,还是自己整理一下吧。实践了才是自己的,只看永远是别人的。服务器:Server 2008 R2(IP:192.168.1.106);客户端:Server 2008 R2(IP:192.168.1.107)一、 创建用户itjong运…

线性规划图解法求最优解_高中数学:简单的线性规划问题

1. 简单线性规划问题的有关概念先来看一道高考题:某公司招收男职员x名,女职员y名,x和y须满足约束条件,则的最大值是( )A. 80 B. 85 C. 90 D. 95(1)约束条件:变量x、y满足的一组条件,如上面高考题中的二元一…

在桌面关闭计算机关机不了怎么办,为什么我电脑按关机屏幕一直显示正在关机却一直关不了机怎么办...

“开始”-->“运行”-->键入“Regedit”-->“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\control\Shutdown子项,在右边窗口中新建一个"字符串值",命名为"FastReboot",同时将"数值数据"设为0即可。如果还不行再…

spark-sql建表语句限制_SparkSQL

SparkSQL介绍Hive是Shark的前身,Shark是SparkSQL的前身,SparkSQL产生的根本原因是其完全脱离了Hive的限制。SparkSQL支持查询原生的RDD。 RDD是Spark平台的核心概念,是Spark能够高效的处理大数据的各种场景的基础。能够在scala中写SQL语句。支持简单的SQ…

计算机大作业论文意义,大学的大作业是什么?

原标题:大学的大作业是什么?大学里面的大作业一般就是课程设计之类的,一些老师会让学生做些课外实践的作业,作为平时成绩的一部分大作业听起来很高大上,然而好多课程其实只是一篇论文。论文类的就是有点水的了。毕竟学…

arduino智能浇花系统_arduino+水泵+继电器+RFID

arduino继电器电机应用场合:加湿器、自动浇花、智能门锁、报警系统.......总之很多场合都适用。本章就介绍利用RFID卡输入,驱动水泵。/* * ---------------------------------------------------------------------------------------------------------…