关于docker:你的镜像安全吗

56次阅读

共计 1599 个字符,预计需要花费 4 分钟才能阅读完成。

问脉,是由长亭团队倾力打造的一款 旁路云原生平安平台,首推零侵入探针,基于全方位威逼辨认升高危险裸露面,无效爱护云原生负载平安。

旁路检测作为问脉独创的云原生平安检测框架,突破了传统的容器平安产品必须在业务节点上装置探针的限度,采纳 Agentless 计划进行部署,保障业务节点实现严格意义上的零侵入检测,让用户可能轻装上阵,轻松解决云原生平安问题。

目前问脉商业版反对以旁路模式扫描 镜像 / 集群 /IAC/ 代码仓库 /OSS 等多种对象,无需独自配置宿主探针或平行容器探针即可笼罩 90% 以上前置危险。同时基于工作式驱动,灵便定义扫描 周期 / 范畴 / 插件,最大水平适配各类云原生业务场景。

你能保障本人应用过的镜像是可信的、未被篡改过的吗?

公网的镜像仓库并不平安
钻研显示,目前 Docker Hub 上的镜像 76% 都存在破绽。平安公司 Palo Alto Networks 威逼情报小  Unit42 发  Docker Hub 上的镜像存在一种新型的 Graboid 挖矿绑架病毒,目前已知这个蠕虫曾经感化了超过 2000 台不平安的 Docker 主机,用于开掘 Monero 加密货币。

公有搭建的镜像仓库存在危险
Harbor 仓库 1.7.0-1.8.2 版本存在垂直越权破绽,因注册模块对参数校验不严格,可导致任意管理员注册,攻击者能够通过注册管理员账号来接管 Harbo  镜像仓库,从而写入歹意文件,最终能够感化应用此仓库的客户端。

本地构建的镜像无奈保障
根据各类业务场景和具体须要的业务性能构建的长期镜像,极大可能存在不经意间写入的敏感信息内容,如 passwords,keys,creds 等。如果不进行任何检测间接投入使用,极易被攻击者窃取信息并进行歹意鉴权,危害业务性能。

问脉作为一款 旁路云原生平安平台,采纳独创的旁路检测计划,无需在业务服务器上部署探针,即可实现仓库镜像平安检测,收费集成 Harbor v1、Harbor v2、dockerhub 镜像仓库,适配包含 Docker registry 在内的多种支流仓库,基于工作式驱动灵便配置,护航镜像仓库抵挡平安威逼。

Agentless Scanning

无需装置部署扫描探针,严格意义上的无侵入模式,近程检测仓库中镜像平安危险。

如何做到无侵入扫描?

问脉提供云部署探针近程扫描模式,不须要提供服务器资源,不须要将探针装置到仓库所在服务器,你只须要在平台点击创立即可领有一个收费部署在云端的探针,实现仓库信息字段填写即可开始仓库中的镜像检测。

应用速览(以云部署探针扫描 Dockerhub 仓库为例)

第一步:创立云部署探针,显示云部署探针在线即代表创立胜利

第二步:集成仓库资源,抉择 Dockerhub 仓库类型,填写你的 dockerhub 官网用户账号信息,并抉择云部署探针,状态显示已连贯即代表仓库连贯胜利

第三步:下发检测工作,抉择对集成的仓库进行仓库镜像平安扫描,并可根据业务场景抉择各类扫描插件,打算实现后可返回对应的事件列表查看检测后果。

是否能够应用本地探针进行检测?

能够,在创立探针时,咱们提供云部署探针、本地部署用于扫描本地镜像的探针、本地部署用于扫描仓库镜像的旁路探针,在集成仓库时能够任意抉择适配的探针对象进行应用。本地部署的长处是扫描无工夫数量限度,能够依据不同的业务场景创立不同的扫描打算,灵便高效。

是否能够扫描公有仓库中的镜像?

能够,只有应用用于扫描仓库镜像的旁路探针,可能拜访到对应的公有仓库就能进行检测。

最初

问脉与其余仓库镜像检测计划相比,有着如下几大劣势:

  1. 海量性能收费应用
  2. 24 小时专人答疑
  3. 独创旁路模式轻量级应用,无需担心侵入性 / 稳定性 / 保密性等问题
  4. 检测镜像中破绽 / 歹意文件 / 敏感信息等多种威逼危险,更具体更精确
  5. 可视化平台,事件与资产一一对应,检测流程操作简略,极其敌对

欢送徒弟们与咱们分享应用感触及性能需要,咱们致力用最短的工夫为大家带来最须要的产品性能。

正文完
 0