4 ferramentas para reforçar a segurança de “containers”

Os instrumentos de software oferecem monitorização de nível corporativo, controlo baseado em políticas, auditoria interna aos invólucros digitais e núcleos Linux robustecidos para aplicações neles baseados.

Os “containers” como os da Docker não são apenas uma forma de implantar software com maior rapidez ou flexibilidade. Também podem ser uma maneira de tornar o software mais seguro.

A análise automática dos componentes de software que entram nesses invólucros digitais, as políticas comportamentais que abrangem agrupamentos de “containers” e múltiplas versões de aplicações e novos desenvolvimentos inovadores no rastreio e na gestão de dados de vulnerabilidades são apenas algumas das formas como os invólucros reforçam a segurança durante todo o ciclo de vida da aplicação.

Mas até que ponto isso surge pronto a usar é uma outra história. Em geral a oferta desses “contentores” disponibiliza o básico ou pouco mais do que isso, deixando a monitorização ou gestão mais avançada apenas nas mãos do administrador.

Há quatro produtos e serviços recentemente renovados que trazem segurança adicional para estruturas de “containers”, tanto em cloud computing como em datacenter local.

Twistlock Container Security Platform

A Twistlock tem adicionado controlos de segurança para “containers” em cenários que não são cobertos por produtos “essenciais” como o Docker Enterprise. Por exemplo, o Twistlock 2.0 adicionou controlos de conformidade para impor regras HIPAA e PCI em “containers” e Twistlock 2.1 incluiu alertas de conformidade para ferramentas de compilação como o Jenkins.

Com a versão 2.2, o Twistlock adiciona suporte para o CIS Benchmark, da Kubernetes, de modo que uma implantação gerida pela plataforma da Kubernetes pode ser verificada em relação a um conjunto de critérios comuns para proteger a Kubernetes. O sistema da Twistlock agora é executado em “clusters” geridos por Swarm, assim como por Kubernetes, embora a verificação do CIS esteja disponível apenas para a última.

A Twistlock 2.2 inclui uma “firewall nativa de cloud para aplicações”, uma forma de protegê-las em ambiente de “container” apenas apontando para qualquer aplicação orquestrada. A firewall analisa o tráfego de rede entre os invólucros e cria regras automaticamente com base em comportamentos dos mesmos, de modo a que os administradores não precisem de gerar regras manualmente.

A Twistlock 2.2 também defende anfitriões contra ataques ao “runtime”, além de proteger os “containers”, construindo heurísticas sobre comportamentos de sistema legítimos e ilegítimos. Uma ferramenta de “exploração de incidentes” permite que os administradores vejam, num único relatório, todas as mudanças ocorridas num sistema durante um incidente de segurança

A Twistlock Container Security Platform só está disponível numa única edição de empresa paga, mas há a possibilidade de se experimentar uma versão de avaliação por 30 dias, sem pagar.

Sysdig Secure

O Sysdig Secure fornece um conjunto de ferramentas para monitorizar os ambientes de segurança do “runtime” dos invólucros e obter elementos forenses a partir deles. O objectivo é funcionar de mãos dadas com as outras ferramentas de instrumentação da Sysdig, como o Sysdig Monitor.

As políticas para o ambiente podem ser definidas e implementadas por aplicação, por “container”, por anfitrião ou por actividade de rede. Qualquer evento monitorizado pela Sysdig Secure pode ser visualizado pelo anfitrião/ “container” ou através do dispositivo orquestrador (normalmente a Kubernetes).

O histórico de comandos de cada “container” pode ser registado e examinado e podem ser gravados elementos forenses gerais sobre todo o cluster, além de reproduzidos de forma semelhante ao recurso do “explorador de incidentes” da Twistlock.

O Sysdig Secure está disponível apenas como uma oferta paga da Sysdig, tanto nas edições em cloud e tradicionais.

Atomicorp Secure Docker Kernels

O Secure Docker Kernel da Atomicorp é um núcleo de Linux alternativo, para Ubuntu e CentOS, que faz uso de uma série de tácticas de robustecimento para compensar possíveis ataques. Muitas das protecções, como as permissões mais restritas de acesso a memórias de sistemas, são derivadas da linha geral de produtos do núcleo seguro da Atomicorp.

Outros, como a protecção contra fugas de invólucros, são principalmente para os Secure Docker Kernels. A Atomicorp oferece o Atomic Secured Docker Kernel para compra directa, e também oferece versões dele no CentOS hospedado pela AWS, e CentOS e Ubuntu hospedados na Azure.

Aqua Container Security Platform

A Aqua Container Security Platform fornece segurança de conformidade e “runtime” para “containers” Windows e Linux. Permite que os administradores apliquem políticas de segurança e perfis de risco para aplicações.

Os perfis também podem ser associados a diferentes linhas de desenvolvimento de aplicações. A digitalização de imagens pode ser integrada com ferramentas de compilação e CI / CD. A Aqua Container Security Platform também permite que se utilize contextos de aplicações para segmentar redes para essas aplicações em “runtime”.
A Aqua Container Security Platform também funciona com o projecto Grafeas da Google. A Plataforma de segurança Aqua Container pode registar qualquer informação de vulnerabilidade encontrada num repositório de apps Grafeas, e as políticas da Aqua podem usar os dados de definição do Grafeas para incidentes de segurança e problemas de software.

A Aqua CSP está disponível como uma oferta tradicional ou em cloud. Não há versões de teste gratuito ou de em código aberto, mas a Aqua lançou uma série de projectos secundários em open source que decorrem do seu trabalho com CSP.

Autores
Tags

Artigos relacionados

O seu comentário...

*

Top