Accedi / Registrati Account

CONTAINER

Cos'è Clair?

Clair è un progetto open source che fornisce uno strumento per monitorare la sicurezza dei container mediante l'analisi statica delle vulnerabilità in container appc e docker. Clair è un motore basato su API che ispeziona i container livello per livello per rilevare eventuali difetti di sicurezza noti. Clair ti consente di creare facilmente servizi che garantiscano un monitoraggio continuo delle vulnerabilità dei container.

Jump to section

Proteggere i container con Clair

I dati di vulnerabilità sono continuamente importati da un set noto di sorgenti e correlati al contenuto indicizzato delle immagini dei container in modo da ottenere elenchi contenenti le vulnerabilità rivolte ai container. Se i dati di una vulnerabilità cambiano upstream, lo stato precedente e il nuovo stato della vulnerabilità con le immagini su cui influisce possono essere inviati tramite webhook a un endpoint configurato. Tutti i componenti principali possono essere personalizzati in modo programmatico durante la compilazione, senza suddividere il progetto. Clair supporta la sicurezza dei container in quanto:

  • Aggiorna i dati di vulnerabilità da un set di sorgenti definito dall'utente e li archivia nel relativo database
  • Consente ai clienti di interrogare il database per rilevare vulnerabilità all'interno di immagini specifiche attraverso un'API
  • Indicizza le immagini dei container con un elenco di caratteristiche presenti nelle immagini attraverso un'API

Come funziona Clair

Clair esegue la scansione di ciascun livello di container e invia una notifica delle vulnerabilità che possono costituire una minaccia, in base al database Common Vulnerabilities and Exposures (CVE) e a database simili di Red Hat®, Ubuntu e Debian. Poiché i livelli possono essere condivisi tra diversi container, l'introspezione è fondamentale per creare un inventario di pacchetti e confrontarlo con CVE noti.

Clair ha inoltre introdotto il supporto per i gestori di pacchetti di linguaggi di programmazione, a partire da Python, nonché una nuova API orientata alle immagini.

Il rilevamento automatico delle vulnerabilità contribuisce ad aumentare la consapevolezza e le best practice di sicurezza in tutti i team di sviluppo e operativi, incoraggiandoli a gestire le vulnerabilità. Al rilevamento di nuove vulnerabilità, Clair identifica subito i livelli vulnerabili esistenti e invia le notifiche, senza dover ripetere la scansione.

Ad esempio, benché la vulnerabilità CVE-2014-0160, detta anche "Heartbleed", sia nota da tempo, grazie alla scansione di sicurezza di Red Hat Quay si è appurato che è ancora una potenziale minaccia per un'alta percentuale di immagini di container che gli utenti hanno archiviato su Quay. 

Occorre tenere presente che per sfruttare una vulnerabilità devono verificarsi una serie di condizioni particolari. Ad esempio, Heartbleed viene considerato come minaccia solo se si installa e si utilizza il pacchetto OpenSSL vulnerabile. Clair non è adatto a tale livello di analisi e i team dovrebbero comunque effettuare analisi più approfondite in base alle esigenze.

Clair e Kubernetes

Clair è parte integrante del progetto Project Quay open source. La piattaforma KubernetesRed Hat OpenShift® può utilizzare Clair per la sicurezza dei container mediante un operatore Kubernetes denominato Container Security Operator che è a sua volta un componente di Red Hat Quay. Red Hat Quay è una piattaforma open source per il registro delle immagini container che consente di creare, distribuire ed eseguire il deployment di container in data center globali, focalizzandosi su modelli di sviluppo e ambienti cloud native e DevSecOps.

Quay Container Security Operator, che si integra con Red Hat OpenShift, consente di aumentare la sicurezza dei repository di immagini con sistemi di automazione, autenticazione e autorizzazione. Red Hat Quay è disponibile con Red Hat OpenShift o come componente standalone.

Il contributo di Red Hat

In quanto membro della Cloud Native Computing Foundation e contributore leader dei progetti delle community open source, Red Hat continuerà a partecipare allo sviluppo di Project Quay.

Red Hat contribuisce in modo significativo alla progettazione di nuove funzionalità per Clair e Project Quay ed esegue inoltre uno dei principali database di vulnerabilità utilizzati da Clair. Red Hat supporta inoltre la più grande installazione di Clair tramite quay.io, che funge da ambiente di test del carico in scenari reali.

Proteggi i tuoi container

Red Hat Quay logo

Registro delle immagini di container per la creazione, la distribuzione e il deployment di container.

Red Hat OpenShift product logo

Sviluppa, distribuisci e gestisci i tuoi container in modo scalabile e in qualsiasi ambiente.