Iniciar sesión / Registrar Cuenta

CONTENEDORES

¿Qué es Clair?

Clair es un proyecto open source que ofrece una herramienta para supervisar la seguridad de los contenedores por medio del análisis de los puntos vulnerables en los contenedores appc y docker. Se trata de un motor de análisis basado en las API que revisa los contenedores capa por capa en busca de fallas de seguridad conocidas. Con Clair, puede diseñar servicios con facilidad, para supervisar los puntos vulnerables de los contenedores de forma permanente.

Jump to section

Clair para la seguridad de los contenedores

La información sobre los puntos vulnerables se importa regularmente desde un conjunto de fuentes conocidas, y se vincula con el contenido indexado de las imágenes de los contenedores para elaborar listas de las amenazas para un contenedor. Cuando esta información se modifica upstream, se puede utilizar un webhook para enviar el estado anterior y el actual del punto vulnerable a un extremo configurado, junto con las imágenes que se ven afectadas. Todos los elementos principales se pueden personalizar mediante la programación cuando se realiza la compilación, sin tener que dividir el proyecto. Clair garantiza la seguridad de los contenedores de distintas maneras:

  • Actualiza la información sobre los puntos vulnerables desde un conjunto de fuentes que usted mismo define, y la almacena en su base de datos.
  • Permite que los clientes consulten la base de datos en busca de los puntos vulnerables en determinadas imágenes utilizando una API.
  • Indexa las imágenes de los contenedores con una lista de características que están presentes en ellas por medio de una API.

¿Cómo funciona Clair?

Clair revisa todas las capas del contenedor y alerta sobre las posibles amenazas en función de la Base de datos de puntos vulnerables y exposiciones comunes (CVE) y otras similares de Red Hat®, Ubuntu y Debian. Dado que muchos contenedores comparten las capas, resulta fundamental realizar un análisis interno para diseñar un inventario de los paquetes y compararlo con los CVE conocidos.

Clair también incorporó la compatibilidad con los gestores de los paquetes de lenguajes de programación, comenzando por Python, y una nueva API para las imágenes.

La detección automática de los puntos vulnerables permitirá mejorar el grado de conocimiento y las prácticas recomendadas de seguridad en los equipos de desarrollo y operaciones, y fomentará la adopción de medidas para abordar y corregir las amenazas. Cuando se generan nuevos peligros, Clair identifica de inmediato cuáles son las capas que se ven afectadas, sin necesidad de volver a analizarlas, y procede a notificarlo.

Por ejemplo, la falla CVE-2014-0160 o "Heartbleed" es conocida desde hace tiempo. Sin embargo, el escaneo de seguridad de Red Hat Quay descubrió que todavía representa una posible amenaza para una gran cantidad de imágenes de los contenedores que los usuarios almacenaron en Quay. 

Generalmente deben darse ciertas condiciones para poder exponer los puntos vulnerables. Por ejemplo, Heartbleed solo puede generar problemas si se instala y se utiliza el paquete vulnerable de OpenSSL. Clair no es la herramienta adecuada para este nivel de análisis, así que los equipos deberán realizar una revisión más profunda cuando sea necesario.

Clair y Kubernetes

Clair es parte del proyecto open source Project Quay. La plataforma Red Hat OpenShift® de Kubernetes puede utilizar esta herramienta para proteger los contenedores por medio del operador de seguridad de Kubernetes, el cual también forma parte de Red Hat Quay. Red Hat Quay es una plataforma open source de registro de las imágenes de los contenedores que permite diseñar, distribuir e implementar los contenedores en los centros de datos internacionales, y se concentra en los modelos y entornos de desarrollo nativo de la nube y de DevSecOps.

El operador de la seguridad de los contenedores de Quay, que se integra con Red Hat OpenShift, le permite aumentar la seguridad de los repositorios de imágenes con sistemas de automatización, autenticación y autorización. Red Hat Quay está disponible con Red Hat OpenShift o como elemento independiente.

¿Cuál es la aportación de Red Hat?

Como parte de su compromiso con las comunidades open source, Red Hat seguirá participando en el desarrollo del proyecto Quay como miembro de la Cloud Native Computing Foundation.

Red Hat colabora en gran medida con el diseño de las funciones nuevas para Clair y Project Quay, y controla una de las principales bases de datos de puntos vulnerables que utiliza Clair. Además, dirige la instalación más grande de Clair a través de quay.io, el cual funciona como un entorno real para las pruebas de carga.

Proteja sus contenedores

Red Hat Quay logo

Registro de imágenes de contenedores para el diseño, la distribución y la implementación de contenedores.

Red Hat OpenShift product logo

Desarrolle, implemente y gestione sus contenedores en cualquier lugar y según sea necesario.