Docker容器技术信息传播和服务平台
您目前处于:

有容云即将推出容器安全产品AppSafe

2016-07-29 分类:Docker行业资讯/动态 阅读(3901) 评论(0)
众所周知,容器火起来后其生态日渐壮大,诸多细节走进大众视野且被提上议程,尤其是在生产环境的落地过程中,更是容不得差错,而其中最不能忽视一个,正是安全问题。无危为安,无损为全,安全是一种状态,更是一种保障。有容云企业级容器安全产品AppSafe将于8月1日全新上线,关注用户体验及安全,打响国内容器安全第一枪!

20160729200620

AppSafe概览

什么是容器安全?有说法是不会对主机及其他容器造成影响的,也有说法是容器整个生命周期安全的,总而言之,容器安全并非仅仅是容器,而是包含了多方面关系的系统的问题,也就是说,在容器安全问题的考虑中, 容器的镜像安全及容器运行时的安全防护尤为重要。

纵观整个容器安全生态圈,最大的两个版块当数容器镜像扫描(CVE)与容器运行时违规(CIS)。(注:CVE 为Center for Internet Security缩写,CIS为Center for Internet Security缩写)。据国外权威研究机构分析Docker Hub上所有官方的镜像有超过1/3的镜像有高危漏洞,接近2/3的有高或中级危漏洞,这就会导致容器间通讯很容易被远程攻击。容器提供了以进程为主的运作方式,随处运行的可行性及生命周期短暂性特点深入人心;构建后仅仅包含运行一个应用所必须的软件包且不会再改变,任何更新都需要重新构建容器,从而保持容器的不可修改性,但这也让任何的漏洞会同时被复制。AppSafe帮助用户解决哪些容器安全问题呢?
扫描并标记含有漏洞的镜像
20160729200607
数据显示,在Docker Hub官方仓库中取样1000个官方镜像,发现大约有20%的镜像中软件包Mercuarial存在漏洞,而Docker Hub普通仓库中的Bash漏洞高达40%。那么我们要如何判断自己使用的镜像是否安全、是否存在篡改或者其宣称的来源是否可靠?如果攻击者诱导大家运行由其精心设计的镜像,那么各位的主机与数据都将处于威胁之下。AppSafe提供镜像扫描服务,方便大家及时发现含有漏洞的镜像,更新自己运行的镜像为,从而更新到不包含任何存在已知安全漏洞的版本。

20160729200636

含漏洞镜像标记
针对拒绝服务攻击提供安全防护
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,DoS/ DDoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃。下图为使用HTTP协议的DoS 攻击压力测试工具Slowhttptest 对wordpress应用发起攻击,AppSafe阻挡了攻击,外部依然可以正常访问应用,但拓扑图上我们能直观看到红线标出的异常情况:
20160729200644
Slowhttptest 对容器发起攻击
20160729200652
异常情况标识
智能化发现应用违规及威胁并提供防护机制
当容器面向某数据库或者服务发起访问时,往往需要某些安全协议或策略加以配合,例如API密钥或者用户名加密码。而一旦攻击者利用到这些私密信息漏洞,必然对应用程序产生威胁。这类问题在微服务架构当中往往更为严重,因为在此类环境内各容器会频繁中止与启动,因此受到的威胁远高于一般而言运行周期更长且数据较少的虚拟机系统。对此,AppSafe提供了对应安全策略,当发现违规行为时可启动防护模式,对容器进行实时保护。
20160729200700

安全策略

20160729200710

威胁事件

总结
一句话总结: AppSafe专为容器而生, 专治使用容器中遇到的各种不服!还是那个宗旨:一个中心,两个基本点;以应用为中心,以保障容器静态资源和运行时安全为基本出发点。重要的事情说三遍:国内首款企业级容器安全产品AppSafe,8月1上线。
K8S中文社区微信公众号
分享到:更多 ()
标签:

相关推荐

评论 抢沙发

评论前必须登录!