Dnes jsme otevřeli zdrojový kód nového projektu Clair, nástroje pro monitorování bezpečnosti vašich kontejnerů. Clair je analytický engine řízený rozhraním API, který kontroluje kontejnery vrstvu po vrstvě a hledá v nich známé bezpečnostní chyby. Pomocí nástroje Clair můžete snadno vytvářet služby, které zajišťují nepřetržité monitorování zranitelností kontejnerů. Společnost CoreOS věří, že nástroje, které zlepšují zabezpečení světové infrastruktury, by měly být dostupné všem uživatelům a dodavatelům, proto jsme tento projekt vytvořili jako open source. Se stejným záměrem vítáme vaši zpětnou vazbu a příspěvky do projektu Clair.
Clair je základem beta verze Quay Security Scanning, nové funkce, která nyní běží na platformě Quay a zkoumá miliony kontejnerů v ní uložených z hlediska bezpečnostních zranitelností. Uživatelé služby Quay se mohou přihlásit již dnes a na svém ovládacím panelu uvidí informace o funkci Security Scanning, včetně seznamu potenciálně zranitelných kontejnerů v jejich úložištích. Další podrobnosti pro uživatele Quay najdete v oznámení o betaverzi služby Quay Security Scanning.
Proč vytvořit Clair:
Zranitelnosti budou ve světě softwaru existovat vždy. Správná bezpečnostní praxe znamená být připraven na nehody – identifikovat nezabezpečené balíčky a být připraven je rychle aktualizovat. Aplikace Clair je navržena tak, aby vám pomohla identifikovat nezabezpečené balíčky, které mohou existovat ve vašich kontejnerech.
Poznat, jak jsou systémy zranitelné, je pracný úkol, zejména pokud se jedná o heterogenní a dynamické konfigurace. Cílem je umožnit každému vývojáři získat informace o jeho kontejnerové infrastruktuře. A co víc, týmy jsou oprávněny hledat opatření a aplikovat opravu zranitelností, jakmile se objeví.
Jak funguje Clair
Clair skenuje každou kontejnerovou vrstvu a poskytuje oznámení o zranitelnostech, které mohou představovat hrozbu, na základě databáze Common Vulnerabilities and Exposures (CVE) a podobných databází Red Hat, Ubuntu a Debian. Vzhledem k tomu, že vrstvy mohou být sdíleny mezi mnoha kontejnery, je introspekce nezbytná pro vytvoření soupisu balíčků a jeho porovnání se známými CVE.
Automatická detekce zranitelností pomůže zvýšit povědomí a osvědčené bezpečnostní postupy napříč vývojářskými a provozními týmy a podpoří opatření k opravě a odstranění zranitelností. Když jsou oznámeny nové zranitelnosti, Clair ihned, bez nutnosti opětovného skenování, zjistí, které existující vrstvy jsou zranitelné, a odešle oznámení.
Například CVE-2014-0160 alias „Heartbleed“ je známá již více než 18 měsíců, přesto Quay Scanning zjistil, že je stále potenciální hrozbou pro 80 % obrazů Docker, které mají uživatelé uložené na Quay. Stejně jako systém CoreOS Linux obsahuje nástroj pro automatickou aktualizaci, který opravil Heartbleed na úrovni operačního systému, doufáme, že tento nástroj zlepší zabezpečení kontejnerové vrstvy a pomůže učinit ze systému CoreOS nejbezpečnější místo pro provoz kontejnerů.
Vezměte na vědomí, že zranitelnosti často závisí na konkrétních podmínkách, aby mohly být zneužity. Například Heartbleed má význam jako hrozba pouze v případě, že je nainstalován a používán zranitelný balíček OpenSSL. Systém Clair není vhodný pro tuto úroveň analýzy a týmy by přesto měly podle potřeby provádět hlubší analýzu.
Začněte
Chcete-li se dozvědět více, podívejte se na tuto přednášku o systému Clair, kterou prezentovali Joey Schorr a Quentin Machu. A zde jsou slajdy z přednášky.
Toto je teprve začátek a očekáváme další a další vývoj. Příspěvky a podpora ze strany komunity jsou vítány – vyzkoušejte si ji v Quay nebo ji zapněte ve svém kontejnerovém prostředí a dejte nám vědět, co si o ní myslíte.
Tým, který za Clairem stojí, se zúčastní konference DockerCon EU v Barceloně 16.-17. listopadu. Zastavte se prosím u stánku Quay, kde se dozvíte více informací nebo si prohlédnete ukázku Clair nebo Quay Security Scanning.