Новое предложение поворотного замка разработано для движения вне конфигурации методов наиболее успешной практики для контейнерной безопасности для обеспечения улучшенной безопасности во время выполнения.Надлежащая конфигурация контейнера Докера является хорошим первым шагом для безопасности, но согласно CEO Поворотного замка Бен Бернстайн, это недостаточно.
Поворотный замок сегодня объявил об общедоступности своей Контейнерной безопасности Комплект, который стремится идти вне конфигурации методов наиболее успешной практики для безопасности для обеспечения улучшенной безопасности во время выполнения.«Вы должны думать о нас как о традиционной технологии безопасности для среды, куда Вы выполняете контейнеры», сказал Бернстайн eWEEK. «Мы не говорим, что контейнеры небезопасны по своей природе; мы просто добавляем больше уровней безопасности поверх того, что Вы уже имеете».Существуют многократные средства обеспечения безопасности и методы наиболее успешной практики для безопасности контейнера Докера, многие из которых наследованы от операционной системы Linux, в которой Докер развертывается, включая cgroups и пространства имен, которые обеспечивают изоляцию и управление.
Поворотный замок фокусируется на различных областях контейнерной защиты, особенно жизненный цикл развития DevOps для непрерывной интеграции. «Мы действительно отображаем гигиену и защиту во время выполнения», сказал Бернстайн.Для образа прикладного объекта Поворотный замок смотрит на многократные уровни, включая уровень файла, а также целое изображение для нахождения потенциальных рисков.
Образ прикладного объекта в некоторый момент развертывается в среде выполнения Докера, которая представляет дополнительный потенциальный набор рисков.С контейнерами существует способность изучить обслуживание удостовериться, что только авторизованные услуги работают, сказал Бернстайн. Поворотный замок выполняет эвристику и динамическое профилирование во времени выполнения для идентификации потенциальных рисков. Компонент защиты во время выполнения технологии Поворотного замка соединяется с шестью незаконченными патентами, которые разработала компания.
«Во времени выполнения мы обеспечиваем активную защиту для контейнеров», сказал Бернстайн.Поворотный замок смотрит на ресурсы, используемые приложением-контейнером, которые включают процессы API, которые порождены, а также открываемые порты. Поворотный замок, который не является агрессивной технологией, не находится в системной памяти и фактически не имеет места в фактическом приложении-контейнере, которое защищается и сканируется, сказал Бернстайн.«Мы работаем как специализированный привилегированный контейнер на каждом узле, и мы используем операционную систему, чтобы сделать профилирование, потому что в конце дня контейнеры являются просто процессами», сказал Бернстайн.
С точки зрения гигиены изображения, в сообществе Докера с открытым исходным кодом, существует проект Нотариуса и Довольное Доверительная инициатива, которые стремятся обеспечивать, проверил и аутентифицировал изображения для Докера. Довольный Доверие дебютировало вместе с Докером 1.8.0 выпусков в августе.«Нотариус является потрясающим способом удостовериться, что на изображении нет атаки «человек посередине»», сказал Бернстайн. «Что не могло бы быть потрясающим, возможно, лицо, которое первоначально записало, что код сделал ошибку или было некоторое изображение гигиены с первичным размещением».
Поворотный замок в состоянии отсканировать изображение для определения качества и если существует потенциальная уязвимость.Поворотный замок доступен пользователям Google Cloud Platform as a service для защиты Google Container Engine. Технология может, также может работать с контейнерным обслуживанием Amazon, хотя Поворотный замок еще не имеет формального партнерства с Amazon, сказал Бернстайн.
Поворотный замок также в настоящее время доступен как бесплатная демонстрационная версия пользователям контейнера Докера для оценки.«Коммерческая модель будет ежегодной подпиской», сказал Бернстайн. «Если Вы хотите получить его бесплатно, мы предлагаем поддержку максимум двух узлов бесплатно».Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.