Heute stellen wir ein neues Projekt namens Clair vor, ein Tool zur Überwachung der Sicherheit Ihrer Container. Clair ist eine API-gesteuerte Analyse-Engine, die Container Schicht für Schicht auf bekannte Sicherheitslücken untersucht. Mit Clair können Sie ganz einfach Dienste erstellen, die eine kontinuierliche Überwachung von Container-Schwachstellen ermöglichen. CoreOS ist der Meinung, dass Tools, die die Sicherheit der weltweiten Infrastruktur verbessern, allen Anwendern und Anbietern zur Verfügung stehen sollten, daher haben wir das Projekt Open Source gemacht. Mit dem gleichen Ziel begrüßen wir Ihr Feedback und Ihre Beiträge zum Clair-Projekt.
Clair ist die Grundlage der Beta-Version von Quay Security Scanning, einer neuen Funktion, die jetzt auf Quay läuft, um die Millionen von Containern, die dort gespeichert sind, auf Sicherheitslücken zu untersuchen. Quay-Benutzer können sich ab heute anmelden, um in ihrem Dashboard Informationen zum Security Scanning zu sehen, einschließlich einer Liste potenziell gefährdeter Container in ihren Repositories. Die Quay Security Scanning Beta-Ankündigung enthält weitere Details für Quay-Benutzer.
Warum Clair erstellen: Für verbesserte Sicherheit
Schwachstellen wird es in der Welt der Software immer geben. Eine gute Sicherheitspraxis bedeutet, auf Pannen vorbereitet zu sein – unsichere Pakete zu identifizieren und darauf vorbereitet zu sein, sie schnell zu aktualisieren. Clair hilft Ihnen dabei, unsichere Pakete in Ihren Containern zu identifizieren.
Die Verwundbarkeit von Systemen zu verstehen, ist eine mühsame Aufgabe, vor allem, wenn man mit heterogenen und dynamischen Konfigurationen zu tun hat. Das Ziel ist es, jeden Entwickler in die Lage zu versetzen, Erkenntnisse über seine Container-Infrastruktur zu gewinnen. Mehr noch, Teams werden in die Lage versetzt, Maßnahmen zu ergreifen und Schwachstellen zu beheben, sobald sie auftreten.
Wie Clair funktioniert
Clair scannt jede Container-Schicht und liefert eine Benachrichtigung über Schwachstellen, die eine Bedrohung darstellen könnten, basierend auf der Common Vulnerabilities and Exposures Database (CVE) und ähnlichen Datenbanken von Red Hat, Ubuntu und Debian. Da Schichten von vielen Containern gemeinsam genutzt werden können, ist die Introspektion von entscheidender Bedeutung, um ein Inventar von Paketen zu erstellen und dieses mit bekannten CVEs abzugleichen.
Die automatische Erkennung von Schwachstellen trägt dazu bei, das Bewusstsein und die bewährten Sicherheitspraktiken in den Entwickler- und Betriebsteams zu erhöhen, und ermutigt zu Maßnahmen, um die Schwachstellen zu patchen und zu beheben. Wenn neue Schwachstellen bekannt werden, weiß Clair sofort und ohne erneutes Scannen, welche vorhandenen Schichten anfällig sind, und es werden Benachrichtigungen gesendet.
Zum Beispiel ist CVE-2014-0160, auch bekannt als „Heartbleed“, seit über 18 Monaten bekannt, und dennoch hat Quay Scanning festgestellt, dass es immer noch eine potenzielle Bedrohung für 80 Prozent der Docker-Images darstellt, die Benutzer auf Quay gespeichert haben. So wie CoreOS Linux ein Auto-Update-Tool enthält, das Heartbleed auf der Betriebssystemebene gepatcht hat, hoffen wir, dass dieses Tool die Sicherheit der Container-Ebene verbessert und dazu beiträgt, CoreOS zum sichersten Ort für die Ausführung von Containern zu machen.
Beachten Sie, dass Sicherheitslücken oft von bestimmten Bedingungen abhängen, um ausgenutzt zu werden. Heartbleed zum Beispiel ist nur dann eine Bedrohung, wenn das verwundbare OpenSSL-Paket installiert ist und verwendet wird. Clair eignet sich nicht für diese Art der Analyse, und Teams sollten bei Bedarf dennoch eine tiefergehende Analyse durchführen.
Get Started
Wenn Sie mehr erfahren möchten, sehen Sie sich diesen Vortrag von Joey Schorr und Quentin Machu über Clair an. Und hier sind die Folien des Vortrags.
Dies ist nur der Anfang und wir erwarten mehr und mehr Entwicklung. Beiträge und Unterstützung aus der Community sind willkommen – probieren Sie es in Quay aus oder aktivieren Sie es in Ihrer Container-Umgebung und lassen Sie uns wissen, was Sie davon halten.
Das Team hinter Clair wird auf der DockerCon EU in Barcelona am 16. und 17. November vertreten sein. Bitte besuchen Sie den Quay-Stand, um mehr zu erfahren oder eine Demo von Clair oder Quay Security Scanning zu sehen.