Container容器已經改變了企業在其環境中部署應用程序和服務的方式��。雖然容器是輕量級和更高效的虛擬化技術的替代品�,但它們通常存在的時間很短���。敏捷開發環境的快速變化會為使用傳統漏洞管理解決方案的安全團隊帶來重大風險�。 Tenable.io™Container Security提供對容器IMAGE的深入漏洞評估����,使您能夠在部署容器之前評估容器的安全性��。
容器和自動化運維
容器為DevOps團隊提供了將應用程序構建和部署到生產環境中的簡單方法��。鏡像通常直接從包含基本操作系統和Web應用程序和服務的脫機版本的公共存儲庫中提取�����。就像傳統的應用程序和服務一樣�����,容器可能已經過時�����,并且存在可能導致系統處于危險之中的漏洞��。
容器和安全團隊
對于安全團隊來說��,嘗試評估容器的安全性可能會在容器根據需要部署或隱藏在Docker虛擬網絡后面時面臨許多挑戰�。容器通過Linux操作系統內核獲得共享主機資源優勢�,實現快速交付并可在短時間內輕松部署�����、使用或刪除應用程序����。使用憑據的主動掃描通常無效��,因為容器通常不包括登錄并掃描容器的SSH守護程序��。一些容器可能具有未公開暴露的孤立應用程序和服務�,使得安全團隊難以評估組織的整體風險�。
Tenable.io Container Security
使用Tenable.io Container Security可以讓您對容器內即將發生的情況可視化��。準確的信息使開發人員能夠及時確定和修復容器的風險�����。
開始使用Tenable.io Container Security非常容易�����,我們提供了一個免費的60天的試用�。
現有Tenable.io客戶可以登錄Tenable.io并從“漏洞管理”工具欄中選擇“容器安全”來激活試用�。
在啟動屏幕中����,單擊Try Container Security以啟用您的60天免費試用版��。
一旦您的試用被激活���,您將被重定向到Tenable.io容器安全主頁���。
您可以從網絡中的任何環境或平臺輕松地將鏡像推送到Tenable.ioContainer Security��。要推送鏡像���,請先使用主機系統中的Tenable.io容器安全憑證登錄�����。
$ docker login -u TENABLE_IO_CONTAINER_SECURITY_USERNAME-p TENABLE_IO_CONTAINER_SECURITY_PASSWORD registry.cloud.tenable.com
要獲取現有容器鏡像的完整列表��,請輸入以下內容:
$ docker images
一旦識別出您想要上傳的鏡像��,請輸入相關的Docker鏡像ID�,存儲庫名稱�����,容器鏡像和標簽�����。請注意�����,使用標簽開關是可選的�,默認情況下系統將在標簽字段內使用“最新”��。
$ docker tag <imageID>
registry.cloud.tenable.com/<repository>/<image>:<tag>
標記后���,您可以將容器鏡像推送到registry.cloud.tenable.com��。
$ docker push registry.cloud.tenable.com/<repository>/<image>:<tag>
要關閉會話�����,請使用docker logout命令從主機中刪除登錄憑據:
$ docker logout registry.cloud.tenable.com
儀表盤
儀表盤為管理整個容器的安全性風險提供了全面的信息����,結果包括發現的鏡像���、漏洞和惡意軟件的數量����,使您能夠快速確定哪些容器處于危險之中����。
存儲庫可以手動創建����,也可以自動從現有的容器注冊表中推送或拉出�����。 Tenable.ioContainer Security包括一個存儲庫索引��,它突出顯示每個存儲庫的鏡像數量�,總體大小以及該存儲庫中檢測到的漏洞或惡意軟件的數量�����。您可以輕松地深入到任何提供有關檢測到的服務的信息的存儲庫�,鏡像或標記以及鏡像中可能存在的漏洞�����。
掃描每個容器圖像的結果包括上次分析鏡像的時間��,總體風險評分以及HTML�����,JSON和Nessus v2文件格式的結果列表����。
圖層
Tenable.io Container Security存儲和分析容器注冊表中的每一層漏洞和惡意軟件���。掃描結果包括總體風險評分信息�,CVSS評分漏洞分布情況以及CVE漏洞列表����。在系統部署到生產之前�,請使用此信息來幫助縮小和修復漏洞�。
策略
Tenable.io Container Security支持基于規則的策略��,可幫助您過濾掃描結果并突出顯示與您的組織相關的特定漏洞數據���。策略可以全局應用于特定的存儲庫����,可以突出顯示特定的CVE�����,CVSS值���,還是檢測到惡意軟件�。
添加符合組織應用程序安全策略的規則后�,您可以通過拖放來組織規則的評估方式�。
掃描結果
結果包括總體風險評分和有關容器鏡像的信息��,包括基本操作系統(OS)和版本�。對于想要掃描開發環境和生產環境之間的變化的團隊�,結果還會為推送到Tenable.io容器安全性的每個映像都添加獨特的SHA256校驗和���。使用Tenable.io容器安全風險評估框架��,測量漏洞以幫助您確定對您的環境的風險���。
隨著容器圖像被上傳到Tenable.io容器安全�����,它們將自動掃描漏洞和惡意軟件�。一旦發現一個漏洞�,產品就會自動針對新漏洞重新掃描所有存儲的容器圖像�����,從而確保持續的保護��。
對于DevOps團隊�,Tenable.ioContainer Security提供與Jenkins���,Bamboo�,Shippable�����,Travis CI等其他常見構建系統的集成�,以及軟件開發人員使用的其他持續集成/持續部署工具�����。這使您能夠將圖像從私有注冊表推送到Tenable.io容器安全���。
