容器安全套件Twistlock 2.1正式发布

容器 CVE V201707

摘要

Twistlock宣布正式发布其容器安全产品的2.1版本，主要包括一个可以获知应用程序流量的集成防火墙、漏洞检测、通过集成第三方工具实现的秘密管理以及合规性报警和强制执行。

正文

Twistlock宣布正式发布其容器安全产品的2.1版本，主要包括一个可以获知应用程序流量的集成防火墙、漏洞检测、通过集成第三方工具实现的秘密管理以及合规性报警和强制执行。

名为云原生应用程序防火墙（CNAF）的集成防火墙可以获知应用程序流量（第7层），并预防类似SQL注入这样的已知漏洞。不过，运行的应用程序不同，端口和流量内容会有所差异，那么Twistlock如何支持这一特点？为了了解更多信息，InfoQ联系了Twistlock首席技术官John Morello：

对于Apache、WordPress、nginx等包含广泛动态特性的常见应用程序，我们有深厚的知识。不过，即使是一个我们以前没有见过的应用，我们也提供了核心的安全特性，如预防SQLi及XSS类型的攻击，以及根据恶意端点的实时数据集过滤流入的数据。

Morello表示，对于“广为人知”的应用程序攻击，端口可以事先知道。对于其他攻击，CNAF可以“自动确定监听哪个端口，并通过Twistlock Defender对流量进行动态地重路由，从而达到预防攻击的目的。”

Twistlock在几年前发布的时候集成了谷歌容器引擎（GKE），后来又和Amazon Web Services建立了合作伙伴关系。这两家云提供商都有自己的可配置防火墙。Twistlock是在应用程序层面上增加了这个安全层，获知流入流出的各种流量。Morello表示，“我们所做的任何事都没有和任何特定的云提供商绑定”。

Twistlock还提供了漏洞检测。漏洞数据是由30多个提供商和商业威胁源直接推送的。这些信息经过分析聚合之后进入到产品的情报流。按照Morello的说法，由于数据直接来自一系列的提供商，所以，与其他工具相比，Twistlock的误报率更低。还有其他的漏洞检测工具，如vuls和Clair。当我们问他，Twistlock与同类其他工具相比怎么样时，Morello从以下几个方面作了回答。

• Twistlock的数据源是来自公共漏洞列表（CVE）的数据，这比目前支撑vuls或Clair的数据源更可靠。与其中任何一种工具相比，Twistlock的误报率都要低。Twistlock的扫描包含CI/CD工具的原生插件。它不仅会查看注册中心里的镜像，而且还会根据CVE发现中断构建。Twistlock还能识别和隔离受新发现的CVE影响的正在运行的容器。
• 每个检测到的CVE都会被自动赋予一个风险值——Twistlock会观察环境和应用程序，以便可以优先处理真正的问题。相比之下，Clair/vuls等工具只是简单的报告检测到的CVE。
• Twistlock可以在CI/CD流程的各处创建调节阀，设定镜像在离开开发环境进入生产环境运行之前应该达到什么样的安全漏洞和合规性状态。例如，借助Twistlock，用户可以定义类似这样的策略，“阻止把具有中等严重性或较高危险Java漏洞的容器部署到生产环境。”
• Twistlock的最新版本集成了秘密管理软件，如Hashicorp的Vault和CyberArk的企业级密码保险箱，用来存储密码和其他安全令牌。这也是让Docker Swarm秘密管理功能插件化工作的一部分，Twistlock向其贡献过代码。

该版本还有其他一些特性，包括通过Jenkins插件实现合规性报警，一个“集合”抽象，用于创建可重用的、基于正则表达式的文本过滤器，匹配项目和组织层次中的容器和镜像，以及一个全新的故事板。

查看英文原文：Twistlock 2.1 Container Security Suite Released