Cuenta Iniciar sesión
Jump to section

¿Qué es Clair?

Copiar URL

Clair es un proyecto open source que ofrece una herramienta para supervisar la seguridad de los contenedores por medio del análisis de los puntos vulnerables en los contenedores appc y docker. Se trata de un motor de análisis basado en las API que revisa los contenedores capa por capa en busca de fallas de seguridad conocidas. Con Clair, puede diseñar servicios con facilidad, para supervisar los puntos vulnerables de los contenedores de forma permanente.

La información sobre los puntos vulnerables se importa regularmente desde un conjunto de fuentes conocidas, y se vincula con el contenido indexado de las imágenes de los contenedores para elaborar listas de las amenazas para un contenedor. Cuando esta información se modifica upstream, se puede utilizar un webhook para enviar el estado anterior y el actual del punto vulnerable a un extremo configurado, junto con las imágenes que se ven afectadas. Todos los elementos principales se pueden personalizar mediante la programación cuando se realiza la compilación, sin tener que dividir el proyecto. Clair garantiza la seguridad de los contenedores de distintas maneras:

  • Actualiza la información sobre los puntos vulnerables desde un conjunto de fuentes que usted mismo define, y la almacena en su base de datos.
  • Permite que los clientes consulten la base de datos en busca de los puntos vulnerables en determinadas imágenes utilizando una API.
  • Indexa las imágenes de los contenedores con una lista de características que están presentes en ellas por medio de una API.

Clair revisa todas las capas del contenedor y alerta sobre las posibles amenazas en función de la Base de datos de puntos vulnerables y exposiciones comunes (CVE) y otras similares de Red Hat®, Ubuntu y Debian. Dado que muchos contenedores comparten las mismas capas, resulta fundamental realizar un análisis interno para diseñar un inventario de los paquetes y compararlo con los CVE conocidos.

Clair también incorporó la compatibilidad con los gestores de los paquetes de lenguajes de programación, comenzando por Python, y una nueva API para las imágenes.

La detección automática de los puntos vulnerables permitirá mejorar el grado de conocimiento y las prácticas recomendadas de seguridad en los equipos de desarrollo y operaciones, y fomentará la adopción de medidas para abordar y corregir las amenazas. Cuando se generan nuevos peligros, Clair identifica de inmediato cuáles son las capas que se ven afectadas, sin necesidad de volver a analizarlas, y procede a notificarlo.

Por ejemplo, la falla CVE-2014-0160 o "Heartbleed" es conocida desde hace tiempo. Sin embargo, el escaneo de seguridad de Red Hat Quay descubrió que todavía representa una posible amenaza para una gran cantidad de imágenes de los contenedores que los usuarios almacenaron en Quay. 

Generalmente deben darse ciertas condiciones para poder exponer los puntos vulnerables. Por ejemplo, Heartbleed solo puede generar problemas si se instala y se utiliza el paquete vulnerable de OpenSSL. Clair no es la herramienta adecuada para este nivel de análisis, así que los equipos deberán realizar una revisión más profunda cuando sea necesario.

Clair es parte del proyecto open source Project Quay. La plataforma de KubernetesRed Hat OpenShift® puede utilizar esta herramienta para proteger los contenedores por medio del operador de seguridad de Kubernetes, el cual también forma parte de Red Hat Quay. Se trata de una plataforma open source de registro de las imágenes de los contenedores que permite diseñar, distribuir e implementar los contenedores en los centros de datos internacionales, y se concentra en los modelos y los entornos de desarrollo en la nube y de DevSecOps.

El operador de seguridad de los contenedores de Quay, que se integra con Red Hat OpenShift, le permite mejorar la seguridad de los repositorios de imágenes con sistemas de automatización, autenticación y autorización. Red Hat Quay está disponible con Red Hat OpenShift o como elemento independiente.

Nuestros consultores pueden ayudarlo

Como parte de su compromiso con las comunidades open source, Red Hat seguirá participando en el desarrollo del proyecto Quay como miembro de la Cloud Native Computing Foundation.

Red Hat colabora en gran medida con el diseño de las funciones nuevas para Clair y Project Quay, y controla una de las principales bases de datos de puntos vulnerables que se utiliza en Clair. Además, dirige la instalación más grande de Clair a través de quay.io, el cual funciona como un entorno real para las pruebas de carga.

Artículos relacionados

ARTÍCULO

Diferencias entre los contenedores y las máquinas virtuales

Las máquinas virtuales (VM) y los contenedores de Linux son entornos informáticos empaquetados que combinan varios elementos de TI y los aíslan del resto del sistema.

ARTÍCULO

¿Qué es la organización de los contenedores?

La organización en contenedores automatiza la implementación, la gestión, la escalabilidad y la conexión en red de los contenedores.

ARTÍCULO

¿Qué es un contenedor de Linux?

Un contenedor de Linux es un conjunto de procesos separados del resto del sistema, los cuales pueden ejecutarse desde una imagen diferente que proporciona todos los archivos necesarios para que funcionen.

Más información sobre los contenedores

Productos

Red Hat OpenShift

Plataforma de contenedores de Kubernetes empresarial con operaciones automatizadas integrales para gestionar implementaciones de nube híbrida, multicloud y edge computing.

Contenido adicional

Lista de verificación

Desarrollo de aplicaciones en contenedores: cinco temas para analizar con su equipo

Ebook

Los tres aspectos más importantes que debe tener en cuenta a la hora de seleccionar una plataforma de Kubernetes

Capacitación

Curso de capacitación gratuito

Running Containers with Red Hat Technical Overview

Curso de capacitación gratuito

Containers, Kubernetes and Red Hat OpenShift Technical Overview

Curso de capacitación gratuito

Developing Cloud-Native Applications with Microservices Architectures

Illustration - mail

Obtenga más contenido como este

Suscríbase a nuestro boletín informativo: Red Hat Shares.