Clair para la seguridad de los contenedores
La información sobre los puntos vulnerables se importa regularmente desde un conjunto de fuentes conocidas, y se vincula con el contenido indexado de las imágenes de los contenedores para elaborar listas de las amenazas para un contenedor. Cuando esta información se modifica upstream, se puede utilizar un webhook para enviar el estado anterior y el actual del punto vulnerable a un extremo configurado, junto con las imágenes que se ven afectadas. Todos los elementos principales se pueden personalizar mediante la programación cuando se realiza la compilación, sin tener que dividir el proyecto. Clair garantiza la seguridad de los contenedores de distintas maneras:
- Actualiza la información sobre los puntos vulnerables desde un conjunto de fuentes que usted mismo define, y la almacena en su base de datos.
- Permite que los clientes consulten la base de datos en busca de los puntos vulnerables en determinadas imágenes utilizando una API.
- Indexa las imágenes de los contenedores con una lista de características que están presentes en ellas por medio de una API.
Funcionamiento de Clair
Clair revisa todas las capas del contenedor y alerta sobre las posibles amenazas en función de la Base de datos de puntos vulnerables y exposiciones comunes (CVE) y otras similares de Red Hat®, Ubuntu y Debian. Dado que muchos contenedores comparten las mismas capas, resulta fundamental realizar un análisis interno para diseñar un inventario de los paquetes y compararlo con los CVE conocidos.
Clair también incorporó la compatibilidad con los gestores de los paquetes de lenguajes de programación, comenzando por Python, y una nueva API para las imágenes.
La detección automática de los puntos vulnerables permitirá mejorar el grado de conocimiento y las prácticas recomendadas de seguridad en los equipos de desarrollo y operaciones, y fomentará la adopción de medidas para abordar y corregir las amenazas. Cuando se generan nuevos peligros, Clair identifica de inmediato cuáles son las capas que se ven afectadas, sin necesidad de volver a analizarlas, y procede a notificarlo.
Por ejemplo, la falla CVE-2014-0160 o "Heartbleed" es conocida desde hace tiempo. Sin embargo, el escaneo de seguridad de Red Hat Quay descubrió que todavía representa una posible amenaza para una gran cantidad de imágenes de los contenedores que los usuarios almacenaron en Quay.
Generalmente deben darse ciertas condiciones para poder exponer los puntos vulnerables. Por ejemplo, Heartbleed solo puede generar problemas si se instala y se utiliza el paquete vulnerable de OpenSSL. Clair no es la herramienta adecuada para este nivel de análisis, así que los equipos deberán realizar una revisión más profunda cuando sea necesario.
Clair y Kubernetes
Clair es parte del proyecto open source Project Quay. La plataforma de KubernetesRed Hat OpenShift® puede utilizar esta herramienta para proteger los contenedores por medio del operador de seguridad de Kubernetes, el cual también forma parte de Red Hat Quay. Se trata de una plataforma open source de registro de las imágenes de los contenedores que permite diseñar, distribuir e implementar los contenedores en los centros de datos internacionales, y se concentra en los modelos y los entornos de desarrollo en la nube y de DevSecOps.
El operador de seguridad de los contenedores de Quay, que se integra con Red Hat OpenShift, le permite mejorar la seguridad de los repositorios de imágenes con sistemas de automatización, autenticación y autorización. Red Hat Quay está disponible con Red Hat OpenShift o como elemento independiente.
Nuestros consultores pueden ayudarlo
La ayuda de Red Hat
Como parte de su compromiso con las comunidades open source, Red Hat seguirá participando en el desarrollo del proyecto Quay como miembro de la Cloud Native Computing Foundation.
Red Hat colabora en gran medida con el diseño de las funciones nuevas para Clair y Project Quay, y controla una de las principales bases de datos de puntos vulnerables que se utiliza en Clair. Además, dirige la instalación más grande de Clair a través de quay.io, el cual funciona como un entorno real para las pruebas de carga.