Sysdig Falco

Falco是由Sysdig創(chuàng)建，支持K8S的開源安全審計(jì)工具。Falco是Cloud Native Computing Foundation(CNCF)組成部分，它提供了對(duì)容器、網(wǎng)絡(luò)和主機(jī)活動(dòng)的行為監(jiān)視。

Falco最開始是設(shè)計(jì)用于Linux的主機(jī)入侵檢測(cè)系統(tǒng)，但是其對(duì)于容器系統(tǒng)的container.id、container.image或其規(guī)則的命名空間也適用，所以可以用于對(duì)docker容器的行為探測(cè)，基于一個(gè)容器探測(cè)器，可以實(shí)現(xiàn)對(duì)容器行為的深入洞察，檢測(cè)惡意或未知行為，并通過日志記錄和通知向用戶發(fā)送警報(bào)。

Falco可以跟蹤和分析容器內(nèi)部發(fā)生的動(dòng)作的行為，包括Linux系統(tǒng)調(diào)用。Falco跟蹤基于容器的事件，包括：

• 容器內(nèi)運(yùn)行的shellcode;
• 在特權(quán)模式下運(yùn)行的任何容器
• 從主機(jī)裝入任何敏感目錄路徑(例如/ proc);
• 意外讀取敏感文件的嘗試(例如/etc/shadow);
• 使用任何標(biāo)準(zhǔn)系統(tǒng)二進(jìn)制文件進(jìn)行出站網(wǎng)絡(luò)連接。

一旦檢測(cè)到任何惡意行為，例如使用特定的系統(tǒng)調(diào)用，特定的參數(shù)或調(diào)用過程的屬性，它便可以向管理員發(fā)送警報(bào)。

當(dāng)前版本：0.21.0

項(xiàng)目地址：https://falco.org/

源碼倉庫：https://github.com/falcosecurity/falco

OpenSCAP

OpenSCAP是一個(gè)命令行審核工具，可以掃描，加載，編輯，驗(yàn)證和導(dǎo)出SCAP文檔。SCAP(安全內(nèi)容自動(dòng)化協(xié)議)是用于企業(yè)級(jí)Linux基礎(chǔ)結(jié)構(gòu)的合規(guī)性檢查的解決方案，由NIST維護(hù)。它使用可擴(kuò)展配置清單描述格式(XCCDF)顯示清單內(nèi)容并概述Linux安全情況總結(jié)合規(guī)性情況。

OpenSCAP提供了一組用于合規(guī)性管理和掃描的工具，借助oscap-docker等工具支持對(duì)容器鏡像的掃描。OpenSCAP還可以幫助用戶掃描XCCDF之類的合規(guī)性。該軟件包還具有其他一些工具/組件：

• OpenSCAP Base 用于執(zhí)行配置和漏洞掃描;
• OpenSCAP Daemon在后臺(tái)運(yùn)行的服務(wù);
• SCAP Workbench 一種提供執(zhí)行常見oscap任務(wù)的簡便方法圖形界面;
• SCAPtimony 存儲(chǔ)用于用戶基礎(chǔ)結(jié)構(gòu)的SCAP結(jié)果的中間件。

當(dāng)前版本：1.3.2

項(xiàng)目地址：http://www.open-scap.org/

源碼倉庫：https://github.com/OpenSCAP/openscap

Clair

Clair是一個(gè)開源漏洞掃描程序和靜態(tài)分析工具，用于分析appc和docker容器中的漏洞。

Clair會(huì)定期從多個(gè)來源收集漏洞信息，并將其存儲(chǔ)在數(shù)據(jù)庫中。它提供了公開API供客戶端執(zhí)行和掃描調(diào)用，用戶可以使用Clair API列出其容器鏡像，創(chuàng)建鏡像中功能的列表并在數(shù)據(jù)庫中保存。當(dāng)發(fā)生漏洞元數(shù)據(jù)更新時(shí)，可以通過Webhook觸發(fā)送警報(bào)/通知將漏洞的先前狀態(tài)和新狀態(tài)以及受影響鏡像發(fā)送到配置的用戶。作為部署腳本的一部分，Clair支持多種第三方工具來從終端掃描鏡像。比如Klar，就是是很好的選擇之一

該工具的安裝詳細(xì)信息在GitHub上可用，可以以Docker容器的方式運(yùn)行。它還提供Docker Compose文件和Helm Chart，以簡化安裝過程，也可以從源代碼進(jìn)行編譯。

Clair項(xiàng)目的目標(biāo)是促進(jìn)以透明的方式了解基于容器的基礎(chǔ)架構(gòu)的安全性。所以，項(xiàng)目以法語單詞命名，法語單詞具有明亮，清晰和透明的英語含義

當(dāng)前版本：2.0.2

項(xiàng)目地址：https://coreos.com/clair/docs/latest/

源碼倉庫：https://github.com/quay/clair

Dagda

Dagda是一種開源的靜態(tài)分析工具，用于對(duì)Docker鏡像或容器中的已知漏洞，惡意軟件，病毒，特洛伊木馬和其他惡意威脅執(zhí)行靜態(tài)分析。Dagda可以監(jiān)控Docker守護(hù)程序并運(yùn)行Docker容器以發(fā)現(xiàn)違規(guī)或不常見的活動(dòng)。該工具支持常見的Linux基本鏡像，例如Red Hat，CentOS，F(xiàn)edora，Debian，Ubuntu，OpenSUSE和Alpine等。

Dagda附帶一個(gè)Docker Compose文件，可以輕松運(yùn)行評(píng)估。Dagda雖然支持對(duì)容器的監(jiān)視，但是必須與Sysdig Falco集成。Dagda不支持對(duì)容器注冊(cè)表或存儲(chǔ)庫掃描，更適于手動(dòng)按需掃描。

Dagda部署后，可以從CVS數(shù)據(jù)庫下載已知漏洞和其利用POC并保存到MongoDB中。然后，它會(huì)收集有Docker鏡像中的軟件的詳細(xì)信息，并和MongoDB中先前存儲(chǔ)的詳細(xì)信息進(jìn)行比對(duì)驗(yàn)證每個(gè)產(chǎn)品及其版本是否沒有漏洞。

Dagda可以將ClamAV作為防病毒引擎，用于識(shí)別Docker容器/鏡像中包含的木馬，惡意軟件，病毒和其他惡意威脅。

Dagda主要目標(biāo)用戶是系統(tǒng)管理員，開發(fā)人員和安全專業(yè)人員。

當(dāng)前版本：0.7.0

源碼倉庫：https://github.com/eliasgranderubio/dagda

Anchore Engine

Anchore Engine是一個(gè)開放源碼的DevSecOps全棧安全工具，旨在分析和掃描容器鏡像中的漏洞。該工具可以作為Docker容器鏡像使用，可以作為獨(dú)立安裝或在業(yè)務(wù)流程平臺(tái)中運(yùn)行。Anchore Engine可讓用戶能夠識(shí)別、測(cè)試和解決創(chuàng)建應(yīng)用程序的Docker鏡像中的漏洞。其企業(yè)版OSS提供了策略管理，摘要儀表板，用戶管理，安全和策略評(píng)估報(bào)告，圖形客戶端控件以及其他后端模塊和功能。

Anchore Engine提供Docker compose文件，可以一鍵構(gòu)建docker容器安裝。它支持后端/服務(wù)器端組件，可以通過CLI工具(例如Anchore CLI或Jenkins插件)的形式進(jìn)行掃描。它還可以對(duì)倉庫中的添標(biāo)簽，添加后，它將定期輪詢?nèi)萜髯?cè)表，其進(jìn)行分析。用戶還可以使用添加新查詢，策略和圖像分析的插件來擴(kuò)展Anchore Engine?？梢酝ㄟ^RESTful API或Anchore CLI直接訪問。

當(dāng)前版本：0.7.0

項(xiàng)目地址：https://anchore.com/

源碼倉庫：https://github.com/anchore/anchore-engine

總結(jié)

開源安全工具在保護(hù)基于容器的基礎(chǔ)結(jié)構(gòu)中起著重要作用。我們可以根據(jù)業(yè)務(wù)需求和優(yōu)先級(jí)選擇適宜的工具(組合)進(jìn)行云架構(gòu)下安全保障：比如使用OpenSCAP和Clair進(jìn)行合規(guī)性分析，使用Falco進(jìn)行安全審計(jì)，使用Dagda可以用于對(duì)已知漏洞進(jìn)行靜態(tài)分析，用Anchore之進(jìn)行組合安全保障。