使用NeuVector和JFrog Xray实现左移安全
为开发人员提供Kubernetes应用程序安全见解
本文由克雷格·彼得斯的JFrogHenrik Rosendahl的NeuVector和也是交叉发布在NeuVector博客上.
Kubernetes是备受企业青睐的容器和编排工具,它在大规模自动化应用程序部署的许多方面提供了极大的好处。但是,就像任何新兴技术一样,它也有危险。管理员正在了解到,这些新的云架构的部署可能像非容器化环境一样容易受到攻击。
新技术的出现黑客的新机会当弱点被发现时。云原生技术Docker和Kubernetes呈现更大的攻击面,为恶意加密挖掘、勒索软件和数据盗窃提供更多潜在的入口点。而且对新系统的不熟悉使得管理团队更有可能犯配置错误,就像最近发生的那样特斯拉的漏洞已经证明了。
将安全转移到容器环境需要一套全面的端到端监视器和安全措施确保漏洞被快速捕获和处理.一个DevSecOpsCI/CD管道有许多技术、层和流程要进行安全保护,随着这些技术的迅速发展,单个工具无法提供所需的所有安全性。
幸运的是,各种各样的工具正在变得可用——但要让它们一起工作,并为安全团队、架构师和开发人员提供一个集成的窗口来了解问题可能是令人生畏的。
建筑物左移保安
我们很高兴地分享,NeuVector和JFrog一直致力于弥合这一差距。NeuVector是第一个容器安全平台,提供东/西流量的7层深度网络检测,实时保护免受基于网络的攻击。NeuVector对容器安全的创新方法,即观察执行容器的行为并对异常发出警报,已经在Kubernetes部署中清晰地工作了使用JFrog Artifactory作为他们的Kubernetes注册表.JFrog x光与Artifactory合作执行通用二进制的分析应用程序生命周期的任何阶段的软件工件.x射线有助于识别图像中的漏洞通过扫描和分析工件以及它们的元数据,在运行图像之前,递归地通过任何级别的依赖关系。
NeuVector 2.0集成了JFrog x射线的工件扫描结果与NeuVector的创新多向量容器安全平台,为一个无缝的信息源和行动。这将通过NeuVector工具对容器的内容和漏洞进行深入洞察。
NeuVector和JFrog Xray之间的集成将操作安全信息转移到开发人员手中。
NeuVector将JFrog x射线执行的图像扫描结果集成到NeuVector的新的自动响应规则中——立即提供安全策略和响应动作,以保护容器并生成警报。可以自定义这些规则以匹配特定容器漏洞概要文件等条件,或者设置这些规则以处理跨多个威胁向量(包括容器网络、进程或文件系统)的可疑活动。
带有JFrog x射线数据的NeuVector 2.0 UI
此外,NeuVector容器安全平台授予了使用webhook指定事件响应范围的能力,并在JFrog Artifactory中生成自定义通知,以返回被破坏的容器映像的所有者,以便开发人员采取行动。
之后的一个NeuVector版本将把行为警报信息从NeuVector集成到JFrog Xray中。通过这种方式,选择将哪些容器添加到项目中作为依赖项的开发人员可以更好地了解容器在操作中的行为如何恰当,并从Xray中查看它们的漏洞和许可证数据。
造,发,跑
让我们看看这些集成的特性会带来什么整个CI/CD管道的安全性.
在构建阶段、代码和图像分析对于在部署应用程序之前删除已知的漏洞至关重要。在船阶段,确保适当的访问控制和限制映像的部署对于确保漏洞不会在后续的管道中被有意或无意地引入至关重要。在运行阶段,有一个准备阶段,用于正确锁定主机和编排工具。在生产环境中,对容器环境的实时监视对于捕获可能发生的攻击是至关重要的。
在这个平台环境中,JFrog Artifactory和Xray为构建、发布和预部署阶段提供了所需的安全性、工具和特性。NeuVector通过提供Run阶段的安全性,通过结合容器检查和主机安全性的第7层容器防火墙,防止网络和基于主机的攻击,从而完成管道。
随着客户越来越多地利用Kubernetes的规模和运营优势,JFrog和NeuVector继续专注于带来新的见解,以帮助减轻这些新兴技术受到的攻击带来的安全风险。
了解更多
2018年8月15日,NeuVector & JFrog举办了一场现场网络研讨会,展示了NeuVector 2.0的功能以及与JFrog Xray的集成如何完成DevSecOps循环。
