容器界的杜蕾斯,关注用户体验及安全 | 有容云AppSafe

众所周知,容器火起来后其生态日渐壮大,诸多细节走进大众视野且被提上议程,尤其是在生产环境的落地过程中,更是容不得差错,而其中最不能忽视一个,正是安全问题。无危为安,无损为全,安全是一种状态,更是一种保障。有容云企业级容器安全产品AppSafe将于8月1日全新上线,关注用户体验及安全,打响国内容器安全第一枪!

 

AppSafe概览

 

什么是容器安全?有说法是不会对主机及其他容器造成影响的,也有说法是容器整个生命周期安全的,总而言之,容器安全并非仅仅是容器,而是包含了多方面关系的系统的问题,也就是说,在容器安全问题的考虑中, 容器的镜像安全及容器运行时的安全防护尤为重要。

 

纵观整个容器安全生态圈,最大的两个版块当数容器镜像扫描(CVE)与容器运行时违规(CIS)。(注:CVE 为Center for Internet Security缩写,CIS为Center for Internet Security缩写)。据国外权威研究机构分析Docker Hub上所有官方的镜像有超过1/3的镜像有高危漏洞,接近2/3的有高或中级危漏洞,这就会导致容器间通讯很容易被远程攻击。容器提供了以进程为主的运作方式,随处运行的可行性及生命周期短暂性特点深入人心;构建后仅仅包含运行一个应用所必须的软件包且不会再改变,任何更新都需要重新构建容器,从而保持容器的不可修改性,但这也让任何的漏洞会同时被复制。AppSafe帮助用户解决哪些容器安全问题呢?

 

扫描并标记含有漏洞的镜像

 

 

数据显示,在Docker Hub官方仓库中取样1000个官方镜像,发现大约有20%的镜像中软件包Mercuarial存在漏洞,而Docker Hub普通仓库中的Bash漏洞高达40%。那么我们要如何判断自己使用的镜像是否安全、是否存在篡改或者其宣称的来源是否可靠?如果攻击者诱导大家运行由其精心设计的镜像,那么各位的主机与数据都将处于威胁之下。AppSafe提供镜像扫描服务,方便大家及时发现含有漏洞的镜像,更新自己运行的镜像为,从而更新到不包含任何存在已知安全漏洞的版本。

含漏洞镜像标记

 

针对拒绝服务攻击提供安全防护

DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,DoS/ DDoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃。下图为使用HTTP协议的DoS 攻击压力测试工具Slowhttptest 对wordpress应用发起攻击,AppSafe阻挡了攻击,外部依然可以正常访问应用,但拓扑图上我们能直观看到红线标出的异常情况:

 

Slowhttptest 对容器发起攻击

 

异常情况标识

 

智能化发现应用违规及威胁并提供防护机制

 

当容器面向某数据库或者服务发起访问时,往往需要某些安全协议或策略加以配合,例如API密钥或者用户名加密码。而一旦攻击者利用到这些私密信息漏洞,必然对应用程序产生威胁。这类问题在微服务架构当中往往更为严重,因为在此类环境内各容器会频繁中止与启动,因此受到的威胁远高于一般而言运行周期更长且数据较少的虚拟机系统。对此,AppSafe提供了对应安全策略,当发现违规行为时可启动防护模式,对容器进行实时保护。

 

安全策略

 

针对违规行为的防护

 

威胁事件

 

总结

 

一句话总结: AppSafe专为容器而生, 专治使用容器中遇到的各种不服!还是那个宗旨:一个中心,两个基本点;以应用为中心,以保障容器静态资源和运行时安全为基本出发点。重要的事情说三遍:国内首款企业级容器安全产品AppSafe,8月1日上线,8月1日上线,8月1日上线。

试用及更多信息敬请关注有容云官方消息!

 

PS: Docker Live时代线下交流北京站倒计时还剩3天:

7月31日我们相约帝都

想了解更多AppSafe和容器安全问题?

过来现场直接问啊!

简单粗暴,了解详情戳这里

《Docker Live时代 | 畅聊容器生态之线下系列-北京站》

直接报名请点击:http://www.youruncloud.com/videos/offLiveMeetup.html#start

 

 

分享:容器界的杜蕾斯,关注用户体验及安全 | 有容云AppSafe

有容云-构筑企业容器云 www.youruncloud.com

温馨提示

对Docker容器技术或容器生产实施感兴趣的朋友欢迎加群讨论。我们汇集了Docker容器技术落地实施团队精英及业内技术派高人,在线为您分享Docker技术干货。我们的宗旨是为了大家拥有更专业的平台交流Docker实战技术,我们将定期邀请嘉宾做各类话题分享及回顾,共同实践研究Docker容器生态圈。

加微信群方法:

1.关注【有容云】公众号

2.留言”我要加群”

QQ群号:454565480

有容云微信二维码