神刀安全网

这家初创企业专门寻找容器中的漏洞

这家新近重新起名的公司表示,只靠寻找已知问题并不能找到容器中的漏洞。

这家初创企业专门寻找容器中的漏洞

应用容器领域的新兴市场十分不稳定,这也是Scalock如今将自己更名为 Aqua Security 的原因之一。在经过几个月的测试之后,Aqua Container Security平台在5月18日公开发布,为那些想要寻找容器安全解决方案的企业提供了又一条可行路径。

Aqua Security公司联合创始人、CTO阿米尔·杰比 (Amir Jerbi) 对媒体解释了从Scalock换为现行公司名称的原因:“就像在初创企业之间很常见的那样,最初选择的名字往往被证明与公司的业务目标不合。由于我们所处的领域是DevOps和安全的结合点,我们想要从字面上看上去流动性更强的名字。”(注:Aqua,有水的含义。)

Aqua Security在公司于2015年创建之后募集到了 435万 美金。容器安全从整体上来看在去年发展迅速,CoreOS发布了容器安全技术Clair;Docker Inc.发布了Docker Security Scanning和Twistlock,首次涉及容器安全技术。Aqua的目标是 在扫描应用容器之上更进一步,寻找已知的漏洞

杰比解释称,Aqua的分区漏洞搜索有点像Docker公司的技术。在搜索中,Aqua会寻找分区上所有的二进制文件,包括编程语言组件。与Docker的不同之处在于,Aqua在Docker库之外,还支持亚马逊ECS、CoreOS Quay、JFrog Afrtifactory和私有registry。

杰比说:“我们还提供一个叫做Peekr的SaaS扫描器,开发者可以用它来扫描公有或私有分区上的库。我们会持续进行开发,随着市场变化进行改进。”

Aqua并不只关注应用漏洞扫描,还提供了一定程度的runtime保护。杰比称,Aqua使用一种分层的安全方法保证容器安全。这种分层方法最开始会使用学习模式运行容器应用分区,这通常出现在功能性测试中。在学习模式中,Aqua在应用运行环境中检测容器的行为,并使用它来根据容器使用的文件、可执行文件和网络连接的不同设定颗粒化runtime变量。

最关键的是,我们提供定制于容器或应用的用户访问控制策略。此外,我们根据应用提供网络控制。最后,我们也会通过监控寻找恶意行为,比如端口扫描、套接字炸弹等。

因此,Aqua平台在学习过程中融合了声明性和行为性的方法,作为保护容器分层技术的一部分。另一个容器整体安全领域的关键要素是作为主机的Linux操作系统中现有的控制。

“只要有用,我们就会利用原生Linux安全控制。比如,我们使用netfilter和cgroup,控制容器活动。我们使用自己的技术来填补颗粒化容器特制控制的薄弱之处,因为Linux安全控制是在操作系统资源层面上工作的,它们无法理解容器实体。”

Aqua是Linux基金会的开放容器计划 (Open Container initiative, OCI) 的一部分,其目标是确定容器的标准。杰比提示称,OCI仍旧处于早期阶段,但他表示整个行业十分需要在标准和可共享技术方面达成一致。

“作为容器格式的一种,Docker显然是如今最流行的。但我们的确看到了人们使用其它技术。目前我们支持Docker,但也计划支持与runc相合的其它引擎。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 这家初创企业专门寻找容器中的漏洞

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址