本文讲的是 这家初创企业专门寻找容器中的漏洞,这家新近重新起名的公司表示,只靠寻找已知问题并不能找到容器中的漏洞。
应用容器领域的新兴市场十分不稳定,这也是Scalock如今将自己更名为Aqua Security的原因之一。在经过几个月的测试之后,Aqua Container Security平台在5月18日公开发布,为那些想要寻找容器安全解决方案的企业提供了又一条可行路径。
Aqua Security公司联合创始人、CTO阿米尔·杰比 (Amir Jerbi) 对媒体解释了从Scalock换为现行公司名称的原因:“就像在初创企业之间很常见的那样,最初选择的名字往往被证明与公司的业务目标不合。由于我们所处的领域是DevOps和安全的结合点,我们想要从字面上看上去流动性更强的名字。”(注:Aqua,有水的含义。)
Aqua Security在公司于2015年创建之后募集到了435万美金。容器安全从整体上来看在去年发展迅速,CoreOS发布了容器安全技术Clair;Docker Inc.发布了Docker Security Scanning和Twistlock,首次涉及容器安全技术。Aqua的目标是在扫描应用容器之上更进一步,寻找已知的漏洞。
杰比解释称,Aqua的分区漏洞搜索有点像Docker公司的技术。在搜索中,Aqua会寻找分区上所有的二进制文件,包括编程语言组件。与Docker的不同之处在于,Aqua在Docker库之外,还支持亚马逊ECS、CoreOS Quay、JFrog Afrtifactory和私有registry。
杰比说:“我们还提供一个叫做Peekr的SaaS扫描器,开发者可以用它来扫描公有或私有分区上的库。我们会持续进行开发,随着市场变化进行改进。”
Aqua并不只关注应用漏洞扫描,还提供了一定程度的runtime保护。杰比称,Aqua使用一种分层的安全方法保证容器安全。这种分层方法最开始会使用学习模式运行容器应用分区,这通常出现在功能性测试中。在学习模式中,Aqua在应用运行环境中检测容器的行为,并使用它来根据容器使用的文件、可执行文件和网络连接的不同设定颗粒化runtime变量。
最关键的是,我们提供定制于容器或应用的用户访问控制策略。此外,我们根据应用提供网络控制。最后,我们也会通过监控寻找恶意行为,比如端口扫描、套接字炸弹等。
因此,Aqua平台在学习过程中融合了声明性和行为性的方法,作为保护容器分层技术的一部分。另一个容器整体安全领域的关键要素是作为主机的Linux操作系统中现有的控制。
“只要有用,我们就会利用原生Linux安全控制。比如,我们使用netfilter和cgroup,控制容器活动。我们使用自己的技术来填补颗粒化容器特制控制的薄弱之处,因为Linux安全控制是在操作系统资源层面上工作的,它们无法理解容器实体。”
Aqua是Linux基金会的开放容器计划 (Open Container initiative, OCI) 的一部分,其目标是确定容器的标准。杰比提示称,OCI仍旧处于早期阶段,但他表示整个行业十分需要在标准和可共享技术方面达成一致。
“作为容器格式的一种,Docker显然是如今最流行的。但我们的确看到了人们使用其它技术。目前我们支持Docker,但也计划支持与runc相合的其它引擎。
原文发布时间为: 五月 30, 2016
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/16390.html
