使用NeuVector和JFrog x射线提供左移安全性
为开发人员提供Kubernetes应用程序安全洞察力
本文由克雷格·彼得斯JFrog和Henrik RosendahlNeuVector和也是在NeuVector博客上交叉发布.
Kubernetes是企业青睐的容器和编排工具,在大规模自动化应用程序部署的许多方面提供了巨大的好处。但是,就像任何新兴技术一样,它也存在风险。管理员正在了解到,这些新的云架构的部署可能像非容器化环境一样容易受到攻击。
新技术黑客的新机遇因为弱点被发现了。云原生技术,比如Docker和Kubernetes呈现更大的攻击面,为恶意加密挖掘、勒索软件和数据窃取提供更多的潜在入口点。对新系统的不熟悉使得管理团队更有可能犯配置错误特斯拉的剥削已经证明了。
将安全转移到容器环境需要一套全面的端到端监控和保障措施确保快速发现并处理漏洞.一个DevSecOpsCI/CD管道有许多需要保护的技术、层和过程,随着这些技术的快速发展,单个工具无法提供所有所需的安全性。
幸运的是,各种各样的工具正在变得可用——但是让它们一起工作并为安全团队、架构师和开发人员提供一个解决问题的集成窗口可能令人生畏。
建筑左移安全
我们很高兴与大家分享NeuVector和JFrog一直在努力弥合这一差距。NeuVector是首个容器安全平台,可提供7层深度网络检测东/西流量,实时防范基于网络的攻击。NeuVector对容器安全的创新方法,观察执行容器的行为并对异常发出警报,已经在Kubernetes部署中清晰地工作使用JFrog Artifactory作为他们的Kubernetes注册表.JFrog x光与Artifactory合作执行通用二进制分析应用程序生命周期任何阶段的软件构件.x射线有助于识别图像中的漏洞通过扫描和分析工件以及它们的元数据,在运行图像之前,递归地遍历任何级别的依赖项。
NeuVector 2.0将JFrog x射线的伪影扫描结果与NeuVector创新的多矢量容器安全平台集成在一起,提供无缝的信息源和行动。这将通过NeuVector工具深入了解容器的内容和漏洞。
NeuVector和JFrog x射线之间的集成将操作安全信息转移到开发人员手中。
NeuVector将JFrog Xray执行的图像扫描结果集成到NeuVector的新自动响应规则中-即时提供安全策略和响应动作,以保护容器并生成警报。可以对这些规则进行自定义,以匹配特定容器漏洞配置文件等标准,或者设置为跨多个威胁向量(包括容器网络、进程或文件系统)处理可疑活动。
NeuVector 2.0 UI与JFrog x射线数据
此外,NeuVector容器安全平台授予了使用webhook指定一系列事件响应的能力,并在JFrog Artifactory中生成自定义通知返回受损容器映像的所有者,以便开发人员采取行动。
NeuVector的后续版本将把NeuVector的行为警报信息集成到JFrog x射线中。通过这种方式,选择将哪些容器作为依赖项添加到项目中的开发人员可以更好地了解容器在操作中的行为,并从Xray中查看其漏洞和许可数据。
建造、交付、运行
让我们看看这些集成功能带来了什么整个CI/CD管道的安全性.
在构建阶段、代码和图像分析对于在部署应用程序之前删除已知漏洞至关重要。在船阶段,确保适当的访问控制和限制映像的部署对于确保稍后不会有意或意外地在管道中引入漏洞至关重要。在运行阶段,有一个准备阶段用于正确地锁定主机和业务流程工具。在生产环境中,实时监控容器环境对于捕获可能发生的漏洞至关重要。
在这个平台环境中,JFrog Artifactory和Xray为构建、发布和预部署阶段提供了所需的安全性、工具和特性。NeuVector通过7层容器防火墙结合容器检查和主机安全,提供运行阶段安全性,防止网络和基于主机的攻击,从而完成了管道。
随着客户越来越多地利用Kubernetes的规模和运营优势,JFrog和NeuVector继续专注于带来新的见解,以帮助减轻对这些新兴技术的攻击所带来的安全风险。
了解更多
2018年8月15日,NeuVector和JFrog举行了一场在线研讨会,展示了NeuVector 2.0的功能,以及如何与JFrog Xray集成完成DevSecOps循环。
