當前的IT基礎架構當中,關於容器(Container)的應用,已經成為大型雲端服務業者極力發展與支援的技術之一,然而,在強化安全性的作法上,較偏重在容器映像(Container Image)的弱點掃描,例如,我們可透過Docker Security Scanning、IBM Vulnerability Advisor,或是OpenSCAP來執行。

不過,在應用程式開發的過程中,因為需面對持續整合(CI)、持續部署(CD)的情況,映像內容處於經常異動的狀態,想要在每一個環節都能落實這項工作,就變得相當困難。而趨勢科技在今年6月,發表了一套專為容器環境所設計的資安解決方案,稱為Deep Security Smart Check,能協助企業持續不斷地執行容器映像掃描。

換言之,在部署、執行應用系統之前,開發人員可運用這套產品,預先偵測容器映像潛藏的安全性弱點,以及惡意軟體威脅,同時,可預防惡意程式碼執行,以及部署具有已知系統漏洞的軟體套件。日常管理的作業上,趨勢這套容器安全掃描系統支援多人登入,並可基於使用者角色來控管存取方式(RBAC)。

而對於趨勢現有的Deep Security系列而言,這套新產品的出現,也補足了這條產品線在容器執行時期的保護機制。

趨勢Deep Security系列所防護的部分,陸續從資料中心的實體伺服器、虛擬機器,擴展至雲端服務,而最近推出的Deep Security Smart Check,將涵蓋範圍拓展到容器環境當中,透過容器映像的弱點與惡意軟體掃描,來強化安全性,而且這裡也提供管理主控臺與API。

就實際的規格來看,Smart Check安裝在Kubernetes叢集的套件管理平臺Helm之中,然後再從GitHub的公用儲存庫當中,下載該產品專屬的Helm套件,接著,接著會自動連結Docker Hub提供的系統映像,來組成整套系統。

而從目前搭配的容器映像平臺而言, Smart Check可廣泛用在支援Docker Registry 2.0 API的環境,像是Docker Trusted Registry(DTR) 、Amazon Elastic Container Registry(ECR)、Azure Container Registry,以及Google Container Registry(GCR)。

不過,Smart Check究竟如何掃描容器映像呢?當這套系統接收到掃描請求時,它會下載指定的映像,接著會列出、解開映像的每一個層級來掃描內容,像是透過偵測引擎來查看作業系統的CVE弱點(所在的映像層級與套件資訊),以及修補版本,並且比對惡意軟體的特徵、檔名與存放位置。

趨勢Deep Security系列所防護的部分,陸續從資料中心的實體伺服器、虛擬機器,擴展至雲端服務,而最近推出的Deep Security Smart Check,將涵蓋範圍拓展到容器環境當中,透過容器映像的弱點與惡意軟體掃描,來強化安全性,而且這裡也提供管理主控臺與API。
Deep Security Smart Check提供的弱點掃描功能,可以偵測對應的CVE編號、數量與嚴重性,同時,可以顯示每個CVE弱點的層級與套件資訊。

 

同時,Smart Check也會持續更新威脅資訊,維持與增進安全掃描的成效,例如,可整合趨勢的Smart Protection Network(SPN)收集的情報,藉以偵測層出不窮的各式惡意軟體;而對些利用零時差漏洞所發動的攻擊,Smart Check會運用機器學習的演算法,加以偵測。

這是Deep Security Smart Check執行掃描的流程與架構,這套產品可以針對容器映像的部份,偵測是否存在弱點與惡意軟體,而分析處理的結果還可以推送到Slack、ServiceNow,或是Docker來進行簽章驗證。

在此同時,趨勢也發布了一套API和自動化中心,透過更完善的整合機制,實現安全防護自動化的目標。藉由Deep Security Smart Check提供的API,可協助企業做到持續交付、狀態監控、IT服務管理,以及整合調度指揮工具,使用起來,就如同AWS新推出的Amazon Elastic Container Service for Kubernetes。

產品資訊

趨勢Deep Security Smart Check
●原廠:趨勢(02) 2378-9666
●建議售價:廠商未提供
●系統需求:Kubernetes 1.8.7、Helm/Tiller 2.8.1、Docker 17.06
●支援容器映像登錄服務:支援Docker Registry V2 API的登錄服務,Docker Trusted Registry、Amazon Elastic Container Registry、Azure Container Registry、Google Container Registry
●合作廠商:Amazon、HP、微軟、Oracle、Docker、VMware、Google Cloud Platform

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容