Tänään avaamme uuden projektin nimeltä Clair, joka on työkalu konttiesi turvallisuuden seurantaan. Clair on API-pohjainen analyysimoottori, joka tarkastaa kontit kerroksittain tunnettujen tietoturva-aukkojen varalta. Clairin avulla voit helposti rakentaa palveluita, jotka tarjoavat jatkuvaa konttien haavoittuvuuksien seurantaa. CoreOS uskoo, että työkalujen, jotka parantavat maailman infrastruktuurin turvallisuutta, pitäisi olla kaikkien käyttäjien ja toimittajien saatavilla, joten teimme projektista avoimen lähdekoodin. Samaan tarkoitukseen toivotamme tervetulleeksi palautteesi ja panoksesi Clair-projektiin.
Clair on perusta Quay Security Scanningin beta-versiolle, joka on uusi ominaisuus, joka on nyt käynnissä Quayssä ja tutkii miljoonia sinne tallennettuja kontteja tietoturva-aukkojen varalta. Quayn käyttäjät voivat kirjautua sisään tänään ja nähdä Security Scanning -tiedot kojelaudassaan, mukaan lukien luettelon heidän arkistoissaan olevista mahdollisesti haavoittuvista konteista. Quay Security Scanningin beta-ilmoituksessa on lisätietoja Quayn käyttäjille.
Miksi luoda Clair:
Haavoittuvuuksia tulee aina olemaan ohjelmistomaailmassa. Hyvät tietoturvakäytännöt tarkoittavat varautumista vahinkoihin – turvattomien pakettien tunnistamista ja valmiutta päivittää ne nopeasti. Clair on suunniteltu auttamaan sinua tunnistamaan konteissasi mahdollisesti olevat turvattomat paketit.
Järjestelmien haavoittuvuuden ymmärtäminen on työläs tehtävä, varsinkin kun kyseessä ovat heterogeeniset ja dynaamiset kokoonpanot. Tavoitteena on antaa kenelle tahansa kehittäjälle mahdollisuus saada tietoa kontti-infrastruktuuristaan. Vielä enemmän, tiimeillä on valtuudet etsiä toimia ja soveltaa korjausta haavoittuvuuksiin sitä mukaa, kun niitä ilmenee.
Miten Clair toimii
Clair skannaa jokaisen konttikerroksen ja antaa ilmoituksen haavoittuvuuksista, jotka voivat olla uhka, perustuen Common Vulnerabilities and Exposures -tietokantaan (CVE) ja vastaaviin Red Hatin, Ubuntun ja Debianin tietokantoihin. Koska kerroksia voidaan jakaa monien konttien kesken, on elintärkeää luoda pakettien inventaario ja verrata sitä tunnettuihin CVE-tietoihin.
Haavoittuvuuksien automaattinen havaitseminen auttaa lisäämään tietoisuutta ja parhaita tietoturvakäytäntöjä kehittäjä- ja käyttötiimeissä ja kannustaa toimimaan haavoittuvuuksien korjaamiseksi ja korjaamiseksi. Kun uusia haavoittuvuuksia ilmoitetaan, Clair tietää heti, ilman uutta skannausta, mitkä olemassa olevat kerrokset ovat haavoittuvia, ja siitä lähetetään ilmoitukset.
Esimerkiksi CVE-2014-0160 eli ”Heartbleed” on ollut tiedossa jo yli 18 kuukautta, mutta Quay Scanning havaitsi, että se on edelleen potentiaalinen uhka 80 prosentille käyttäjille, jotka ovat tallentaneet Docker-kuvia Quayhin. Aivan kuten CoreOS Linux sisältää automaattisen päivitystyökalun, jolla Heartbleed korjattiin käyttöjärjestelmäkerroksessa, toivomme tämän työkalun parantavan konttikerroksen tietoturvaa ja tekevän CoreOS:stä turvallisimman paikan, jossa konttia voi käyttää.
Huomaa, että haavoittuvuudet ovat usein riippuvaisia tietyistä olosuhteista, jotta niitä voidaan hyödyntää. Esimerkiksi Heartbleed on uhka vain, jos haavoittuva OpenSSL-paketti on asennettu ja sitä käytetään. Clair ei sovellu tämäntasoiseen analyysiin, ja tiimien tulisi silti tehdä syvempää analyysiä tarpeen mukaan.
Aloita
Katso tämä Joey Schorrin ja Quentin Machun esittämä puhe Clairista, jos haluat lisätietoja. Ja tässä ovat esityksen diat.
Tämä on vasta alkua, ja odotamme yhä enemmän kehitystä. Yhteisön panos ja tuki on tervetullutta – kokeile sitä Quayssä tai ota se käyttöön konttiympäristössäsi ja kerro meille mielipiteesi.
Tiimi Clairin takana on mukana DockerCon EU:ssa Barcelonassa 16.-17. marraskuuta. Poikkea Quayn osastolla saadaksesi lisätietoja tai nähdäksesi Clairin tai Quay Security Scanningin demon.