【51CTO.com快譯】Docker容器可幫助軟件開發人員更快地構建應用程序，并更靈活地部署。容器還可以幫助開發人員使軟件更安全。

自動分析進入容器的軟件組件、跨容器集群和多個應用程序版本的行為策略，以及跟蹤和管理漏洞數據的創新技術，這些只是容器為整個應用程序生命周期提高安全性的幾個途徑。

不過，這些當中多少是開箱即用的是另一回事。Docker和容器管理系統(比如Kubernetes)提供了基本功能，但并不總是提供更強的功能，從而將更高級的安全監控和執行留給了第三方工具。

[[250515]]

以下是七款最近改進的容器安全產品和服務，它們為云端和本地數據中心中的容器提供了漏洞檢測、合規檢查、白名單、防火墻和運行時保護等功能。

1.Aporeto

Aporeto專注于運行時保護，類似于下面討論的NeuVector產品。該公司提供了保護Kubernetes工作負載的微服務安全產品和保護分布式環境中運行的應用程序的云網絡防火墻系統。

若是Kubernetes工作負載，Aporeto可以保護本地環境和托管環境(比如Google Kubernetes Engine)。每個創建的資源被分配了一個服務標識，用于確保應用程序周圍的信任鏈未破壞。除此之外，服務標識還用于執行聲明的應用程序行為，無論應用程序的pod實際上在哪里。

注冊帳戶后，可根據要求索取Aporeto的定價。可免費試用評估30天。

2.Aqua容器安全平臺

Aqua容器安全平臺為Linux容器和Windows容器提供了合規和運行時安全性。

這款端到端容器安全管理器讓管理員可以將安全策略和風險配置文件應用于應用程序，并將這些配置文件與不同的應用程序構建管道關聯起來。映像掃描可與構建和CI/CD工具集成起來。

Aqua容器安全平臺還讓管理員可以利用應用程序上下文，在運行時為應用程序分割網絡。Aqua平臺與Hashicorp Vault等秘密管理工具配合使用，它支持Grafeas API，用于訪問來自軟件組件的元數據。Aqua平臺可以記錄它在應用程序的Grafeas商店中找到的任何漏洞信息，Aqua策略可以利用Grafeas定義數據來處理安全事件和軟件問題。

Aqua容器安全平臺可用于本地或云端部署。沒有免費試用版或開源版，但Aqua發布了許多源自該平臺的開源工具。

3.Atomic Secured Docker

Atomic Secured Docker是適用于Ubuntu、CentOS和Red Hat Enterprise Linux的替代Linux內核，它利用許多加固策略來抵消潛在的攻擊。許多保護措施(比如針對用戶空間內存的加固權限)來自Atomicorp的安全內核產品系列。容器突破防護等其他產品專為Docker設計。

可通過直接購買獲得Atomic Secured Docker。AWS和Azure市場上還有針對AWS托管的CentOS以及Azure托管的CentOS和Ubuntu的版本。

4.NeuVector

NeuVector旨在保護整個Kubernetes集群。它與現有的Kubernetes管理解決方案兼容，比如Red Hat OpenShift和Docker企業版，旨在保護部署所有階段的應用程序，從開發階段(通過Jenkins插件)到生產階段，全程保護。

與本文介紹的許多其他解決方案一樣，NeuVector作為容器部署到現有的Kubernetes集群中，而不是通過修改現有代碼來部署。NeuVector添加到集群后，它會發現所有托管的容器，并生成詳細表明連接和行為的映射圖。可以檢測并考慮到應用程序增加或減少引起的任何變化，以便查找威脅(包括容器突破或新漏洞)的實時掃描仍然有效。

NeuVector的定價取決于運行中的Docker主機的數量，起價為每年9950美元。提供免費試用版。

5.Sysdig Secure

Sysdig Secure提供了一組用于監控容器運行時環境并從中獲取取證分析數據的工具。 Sysdig Secure旨在與Sysdig的其他監測工具(如Sysdig Monitor)一起運行。

可以根據每個應用程序、容器、主機或網絡活動來設置和實施環境策略。Sysdig Secure跟蹤的任何事件都可以由主機或容器通過編排器(通常是Kubernetes)的視角來查看。可以記錄和剖析每個容器的命令歷史記錄，并記錄和回放跨整個集群的總體取證分析數據，類似Twistlock的“事件探索器”功能那樣。

Sysdig僅提供收費的Sysdig Secure，提供云版本和本地版。

6.Tenable.io Container Security

Tenable.io Container Security專注于讓Devops團隊在構建過程中深入了解容器的安全性，而不是在生產環境中事后了解。

構建時掃描容器映像以查找惡意軟件、漏洞和策略合規情況。如果映像或映像中的任何元素發出警報，開發人員會接到表明問題的性質及確切位置的通知，比如多層映像的特定層，以便下一次發布時迅速修復。

Tenable.io Container Security適用于大多數常見的CI/CD構建系統和容器映像注冊中心，并通過儀表板顯示了所有正在運行中的容器映像的當前狀態、策略實施狀態和存儲中心行為。

可索要Tenable.io Container Security的定價。免費試用期為60天。

7.Twistlock

Twistlock為未被“核心”容器產品(如Docker Enterprise)覆蓋的容器添加了許多安全控制。其中一些功能包括：

• 用于對容器實施HIPAA和CI規則的合規控制。
• 針對Jenkins等構建工具的合規警報。
• 針對云原生應用程序的防火墻。
• 基于分析有效和無效的容器行為的結果，對容器提供運行時攻擊防護。
• 支持Kubernetes的CIS基準測試，以便可以根據保護Kubernetes的一系列通用標準，檢查由Kubernetes管理的部署。

2018年8月發布的Twistlock 2.5增加了減少運行時開銷的新的取證分析技術(比如將事件前后的容器狀態信息存儲在容器本身之外)、對用于映射命名空間、pod和容器的實時可視化工具所作的改進之處以及針對無服務器計算系統的防御。

Twistlock提供收費的企業版。之前提供免費30天試用版，但現不提供。

原文標題：7 container security tools to lock down Docker and Kubernetes，作者：Serdar Yegulalp

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】