Möchten Sie sicher sein, dass die Software Ihrer Container sicher und stabil ist? Dann ist der Container Image Analyzer 1.0 von CoreOS genau das Richtige für Sie.
Wir lieben Container. Sie ermöglichen es uns, viel mehr Serveranwendungen auf derselben Hardware auszuführen als virtuelle Maschinen. Bei Containern gibt es nur ein gar nicht so kleines Problem: die Sicherheit. CoreOS'S Clair Behebt dieses Problem, indem es Ihre Container auf Software-Schwachstellen überprüft.
CoreOS, der Hersteller von Linux für massive Serverbereitstellungen und eine eigenständige Container-Power, hat ein gestartet frühe Version von Clair, ein Open-Source-Container-Image-Sicherheitsanalysator, Ende letzten Jahres. Heute wurde CoreOS veröffentlicht Clair Version 1.0 und ist bereit für Produktions-Workloads.
Matthew Garrett, der leitende Sicherheitssoftware-Ingenieur von CoreOS, erklärte in einer E-Mail: „Schwachstellen in der Software sind eine bedauerliche Tatsache im Leben, und es ist wichtig, dass Administratoren so schnell wie möglich davon erfahren und sich bewerben können behebt. Container sorgen für zusätzliche Sicherheit, indem sie die Grenzen zwischen Anwendungen stärken, aber bestehende Betriebstools kennen Container häufig nicht und sind nicht in der Lage, Administratoren über potenzielle Probleme zu benachrichtigen.“
Clair tut dies, erklärte Quentin Machu, ein CoreOS-Softwareentwickler, indem er ein „ein API-gesteuerter Analysedienst [Quay Security Scanning], das Einblick in die aktuellen Schwachstellen in Ihren Containern bietet.“ Dies geschieht durch Überprüfung jedes Container-Image „und stellt eine Benachrichtigung über Schwachstellen bereit, die eine Bedrohung darstellen könnten, basierend auf den Schwachstellendatenbanken Häufige Schwachstellen und Gefährdungen (CVE) wird von Red Hat, Ubuntu und Debian verwaltet.
Für DevOps-Teams liefert Clair. Machu sagte, es biete „nützliche und umsetzbare Informationen über die Schwachstellen, die Container bedrohen“. Das Feedback der Community hat viele der neuesten Clair-Funktionen beeinflusst, darunter die Möglichkeit, nicht nur aufzudecken, ob eine Schwachstelle vorhanden ist, sondern auch den verfügbaren Patch oder das Update zur Korrektur anzubieten. Darüber hinaus verbessert die Version 1.0 die Leistung und Erweiterbarkeit und ermöglicht es Entwicklern und Betriebsexperten, ihre eigenen Dienste rund um den Clair-Analysator zu implementieren.“
Mit dieser Version können Benutzer auch Korrekturen und Schwachstellen hinzufügen. Dies ist wichtig, da es sich um eine Clair-basierte Analyse handelt, die von CoreOS indiziert wird Kaicontainerregister festgestellt, dass:
- Mehr als 70 % der erkannten Schwachstellen könnten einfach durch die Aktualisierung der installierten Pakete in diesen Container-Images behoben werden.
- Mehr als 80 % der als „Hoch“ und „Kritisch“ eingestuften Schwachstellen verfügen über bekannte Korrekturen, die mit einem einfachen Update auf die Pakete in diesen Images angewendet werden können.
Patchen. Es ist ganz einfach.
Wie Machu feststellte: „Die Aktualisierung auf die neuesten Versionen der installierten Software verbessert die allgemeine Sicherheit der Infrastruktur, weshalb wir darüber nachgedacht haben.“ Es ist wichtig, Container-Images auf Sicherheitslücken zu analysieren und einen klaren Weg zu Updates bereitzustellen, die die von Clair verursachten Probleme beheben deckt auf. Container-Images werden oft selten aktualisiert, aber mit Clair-Sicherheitsscans können Benutzer problematische Images einfacher identifizieren und aktualisieren.“
Clair 1.0 bietet sowohl eine bessere Leistung als auch mehr Funktionen.
- Verbesserte Geschwindigkeit: Durch Hebelwirkung rekursive AbfragenClair emuliert eine diagrammartige Datenbankstruktur und behält dabei die Leistungsmerkmale einer herkömmlichen SQL-Datenbank bei. Dadurch wurden die API-Antworten in der Produktion um drei Größenordnungen verbessert, von 30 Sekunden auf 30 Millisekunden.
- Bessere Benutzerfreundlichkeit. Die neue RESTful JSON API wurde verallgemeinert und ist für Entwickler nützlicher. Die bisherige API war eng an die Integration mit Container-Registern gekoppelt, daher auch die neue API soll der Community helfen, Clair besser in andere Arbeitsabläufe und Systeme zu integrieren.
- Name und Version des Quellpakets der Schwachstelle.
- Die Feature-Version(en), die die Schwachstelle beheben, sofern vorhanden.
- Metadaten wie die Common Vulnerability Scoring System (CVSS). Sofern verfügbar, stellen CVSS-Metadaten die grundlegenden Merkmale der Schwachstelle bereit, beispielsweise die Mittel des Zugriffs, ob eine Authentifizierung erforderlich ist und welche Auswirkungen dies auf Vertraulichkeit, Integrität usw. hat Verfügbarkeit.
- Kennzeichnet die spezifische Ebene im Bild, die die Schwachstelle verursacht, um die Anwendung von Patches noch einfacher zu machen.
CoreOS möchte Clair zu einem echten Open-Source-Projekt machen. Während das Unternehmen Beiträge zum zentralen Clair-Repository begrüßt, bedeuten die erweiterbaren Komponenten, dass jedes Unternehmen seine eigenen Clair-Erweiterungen verwalten kann. Huawei zum Beispiel hat es bereits getan hat eine Erweiterung beigesteuert zu unterstützen ACI-Container-Image-Format.
Wenn Sie es mit der Containersicherheit ernst meinen, sollten Sie Clair unbedingt ausprobieren.
Ähnliche Beiträge:
- CoreOS stellt Clair vor, ein Tool zur Überwachung der Containersicherheit
- CoreOS bringt durchgängiges Trusted Computing in Container
- CoreOS bringt Googles Kubernetes ins Unternehmen