细数你不得不知的容器安全工具

网络安全问题的重要性大概毋庸置疑，最近无数关于恶意软件和安全漏洞的消息已充分证实了这一点。

假如你要管理一个Docker环境，并但愿帮助本身的公司或用户在下一个大漏洞来临时避免遇到麻烦，那么你就须要了解一些保障Docker应用安全的工具，并真正地去使用它们。本文将介绍可供使用的Docker安全工具（包括了来自Docker原生的安全工具以及第三方安全工具）。

Docker Benchmark for Security

你首先须要了解的Docker安全工具之一就是Docker Benchmark for Security。Docker Benchmark for Security是一个简单的脚本，它能够测试并确保你的Docker部署遵照已有的的安全最佳实践（security best practices）。

Docker Benchmark for Security可以如此实用的缘由之一是，它所参照的最佳实践基于的是各领域、各职位的行业专家所达成的共识。咨询人员、软件开发人员以及安全和执行方面的专家针对最佳实践的创建都贡献过宝贵观点及经验。你能够在Center for Internet Security（互联网安全中心）找到关于最佳实践和其背后缘由的完整描述。

CoreOS Clair

CoreOS Clair是专门为Docker容器设计的漏洞扫描引擎。这个基于API的扫描引擎能够查看每一个容器层，搜索并报告已知的漏洞。

CoreOS Clair有两个主要的使用场景。首先，针对那些并不是由你亲自建立的镜像，Clair能够作充分的检查。例如，若是你从互联网下载镜像，镜像的安全性就很难保证。CoreOS Clair能够帮助你作出判断。它的第二个使用场景是，当你正在使用的不安全软件时，CoreOS Clair能够阻止和／或提醒你。

Docker Security Scanning

Docker Security Scanning是另外一个可为Docker进行安全漏洞扫描的工具。并且，它不只仅是一个单纯的扫描引擎，如下几点一样值得注意：

首先，Docker Security不局限于扫描Docker容器，该工具还会检查Docker安装安全问题。此外，它可以扫描本地和远程两部分的安装。

另外一个值得一看的一点是，Docker Security基于插件使用。这些插件使得Docker Security有很强的扩展性，所以随着该工具的不断完善，更多的功能将会添加进去。插件能够简易编写，所以使用它的团队能够为实现本身的需求建立插件。

Drydock

Drydock的设计功能相似于Docker Benchmark for Security，不过在使用上更加灵活。和Docker Benchmark类似，Drydock是Docker的安全审核工具。而Drydock的独特之处在于，Drydock容许它的用户建立自定义的审核配置文件。这些配置文件可消除生成报告（噪声警报）中那些引发大量杂乱的审核，从而调整审核过程。此外它还可用于停用和环境无关、会产生虚假警报的审核测试。

和其余容器安全工具不一样，使用Drydock建立自定义配置文件很是容易。该工具备一个内置的配置文件，包含了全部将要执行的审核测试，经过添加注释你就能够控制须要执行的检查。

你能够在Github上下载到Drydock

Twistlock

Twistlock是Docker的另外一个安全审核工具。和其余解决方案不一样的是它是一种商业应用，提供了一个免费的开发版和一个有许可的企业版。

Twistlock扫描容器栈中的每个单独层，并可以使用内容指纹技术识别各类组件以及可能与这些组件相关联的漏洞。

Twistlock企业版使用了机器学习来帮助识别漏洞，此外还提供了自动化策略建立和执行功能。免费的开发者版本和企业版有不少类似之处，但开发者版须要手动建立策略，依赖于社区的支持，而它也限制了只有10个仓库和两台主机。

总结

Docker在逐渐发展成熟，也被愈来愈多的企业投入使用，所以，确保Docker环境的安全也变得愈来愈重要。所幸的是，现有的一系列工具——包括免费版和商业版，均可以帮助你更好地维护Docker应用（如Deepfence、NeuVector和Anchore）的安全。

欢迎关注Rancher官方微信公众号（RancherLabs），获取第一手技术干货推送；欢迎添加客服微信（RancherLabsChina）为好友，加入Rancher官方技术交流群，获取免费技术支持，与数千Docker/Rancher使用者互动。

9月27日，北京海航万豪酒店，容器技术大会Container Day 2017即将举行。

CloudStack之父、海航科技技术总监、华为PaaS部门部长、恒丰银行科技部总经理、阿里云PaaS工程总监、民生保险CIO······均已加入豪华讲师套餐！

11家已容器落地企业，15位真·云计算大咖，13场纯·技术演讲，结合实战场景，聚焦落地经验。免费参会+超高规格，详细议程及注册连接请戳