Agora estamos a fazer open sourcing de um novo projecto chamado Clair, uma ferramenta para monitorizar a segurança dos seus contentores. O Clair é um mecanismo de análise orientado por API que inspeciona os contêineres camada por camada em busca de falhas de segurança conhecidas. Usando Clair, você pode facilmente construir serviços que fornecem monitoramento contínuo das vulnerabilidades dos contêineres. O CoreOS acredita que ferramentas que melhoram a segurança da infra-estrutura mundial devem estar disponíveis para todos os usuários e fornecedores, por isso fizemos o projeto de código aberto. Com esse mesmo propósito, agradecemos seus comentários e contribuições para o projeto Clair.
Clair é a base da versão beta do Quay Security Scanning, um novo recurso em execução agora no Quay para examinar os milhões de contêineres armazenados lá por vulnerabilidades de segurança. Os usuários do Quay podem entrar hoje para ver informações de Security Scanning em seu painel de controle, incluindo uma lista de contêineres potencialmente vulneráveis em seus repositórios. O anúncio beta do Escaneamento de Segurança do Cais tem mais detalhes para os usuários do Cais.
Por que Criar Clair: Para uma Segurança Melhorada
Vulnerabilidades sempre existirão no mundo do software. Boa prática de segurança significa estar preparado para os contratempos – para identificar pacotes inseguros e estar preparado para atualizá-los rapidamente. Clair é projetado para ajudá-lo a identificar pacotes inseguros que possam existir em seus recipientes.
Entender como os sistemas são vulneráveis é uma tarefa trabalhosa, especialmente quando se lida com configurações heterogêneas e dinâmicas. O objetivo é capacitar qualquer desenvolvedor a ganhar inteligência sobre sua infra-estrutura de contêineres. Ainda mais, as equipes estão capacitadas a buscar ação e aplicar uma correção às vulnerabilidades à medida que elas surgem.
Como Clair Funciona
Clair varre cada camada de contêiner e fornece uma notificação de vulnerabilidades que podem ser uma ameaça, baseada no banco de dados de Vulnerabilidades e Exposições Comuns (CVE) e bancos de dados similares da Red Hat, Ubuntu e Debian. Como as camadas podem ser compartilhadas entre muitos containers, a introspecção é vital para construir um inventário de pacotes e comparar isso com CVEs conhecidos.
A detecção automática de vulnerabilidades ajudará a aumentar a conscientização e as melhores práticas de segurança entre desenvolvedores e equipes de operações, e encorajará ações para corrigir e endereçar as vulnerabilidades. Quando novas vulnerabilidades são anunciadas, Clair sabe de imediato, sem resscanning, quais camadas existentes são vulneráveis e as notificações são enviadas.
Por exemplo, CVE-2014-0160, também conhecido como “Heartbleed”, é conhecido há mais de 18 meses, mas o Quay Scanning descobriu que ainda é uma ameaça potencial para 80% das imagens do Docker que os usuários têm armazenadas no Quay. Assim como o CoreOS Linux contém uma ferramenta de atualização automática que corrigiu Heartbleed na camada do SO, esperamos que esta ferramenta melhore a segurança da camada de contêineres, e ajude a fazer do CoreOS o lugar mais seguro para rodar contêineres.
Notem que as vulnerabilidades muitas vezes dependem de condições particulares para serem exploradas. Por exemplo, Heartbleed só importa como uma ameaça se o pacote OpenSSL vulnerável estiver instalado e sendo usado. Clair não é adequado para esse nível de análise e as equipes ainda devem realizar análises mais profundas conforme necessário.
Começar
Para saber mais, assista a esta palestra apresentada por Joey Schorr e Quentin Machu sobre Clair. E, aqui estão os slides da palestra.
Este é apenas o começo e esperamos mais e mais desenvolvimento. As contribuições e apoio da comunidade são bem-vindas – experimente no Quay ou habilite-o no seu ambiente de contentores e diga-nos o que pensa.
A equipa por detrás da Clair estará na DockerCon EU em Barcelona, de 16 a 17 de Novembro. Por favor, passe pelo stand do Cais para saber mais ou veja uma demonstração de Clair ou Quay Security Scanning.