如何自动扫描已部署的容器以查找安全漏洞？

Question

像quay.io这样的地方为它们承载的容器映像提供了已知漏洞的分析。我如何将它与我在Kubernetes中部署的软件连接起来？换句话说，我想要一个周期性的过程：

• 查询apiserver以列出所有的吊舱
• 获取与吊舱中的每个容器相关联的映像
• 根据已知的漏洞列表检查每个图像。

通过类推，我们可以在操作系统级别上使用内置工具或诸如Nessus之类的外部工具来实现这一点。我已经找到了很多工具，可以对容器映像进行静态分析；这就像.apt包的CVE数据库一样。如何将图像漏洞列表应用于正在运行的系统？

Answer 1

我发现了很多工具可以对容器图像进行静态分析；

这确实是可取的办法。

作为连接到正在运行的容器并获取它们的映像( 可能会给你：docker inspect --format='{{.Config.Image}}' $INSTANCE_ID)的替代方法，您可能会考虑：

• 预先进行此分析(在图像级别)
• 签名图像
• 只允许从签名的图像运行容器。

这就是描述安东尼奥·穆尔达卡 (红帽公司高级工程师和CRI人员之一)的原因。保护您的Kubernetes生产集群中的Docker (Moby)核心保持器)。

用生成独立签名的GPG密钥对容器图像进行数字签名，将签名放在可以检索和验证的位置，并在有人请求返回主机上时对其进行验证。 所有这一切背后的故事非常简单:如果给定图像的签名是有效的，则允许节点提取图像并使用它运行容器。否则，节点将拒绝映像并无法运行容器。

这样，您只允许运行其映像已预先验证的容器.