容器资安工具Sysdig Secure 2.0登场加强漏洞、法遵管理

Sysdig

主要锁定容器安全市场的Sysdig，现在该公司旗下的容器资安产品Sysdig Secure已经释出2.0版，这次产品更新除加强漏洞管理、资安分析外，也强化了资安法遵检查功能。

Sysdig表示，在该平台1.0版是以监控产品Sysding Monitor为基础，提供Runtime监测、查核，以及资安鉴识功能，而部署在主机中的Sysdig Agent，可以蒐集底层系统呼叫产生的资料，让系统管理员可以用于故障排除甚至资安鉴识。这一次Sysdig Secure 2.0版以Beta功能释出，也整合了CI/CD流程与容器储存库，让使用者在软体开发早期阶段，就能加强应用程式安全性。

而Sysdig Secure 2.0版主打的三大特色，依序是漏洞管理、法遵管理，以及资安分析。首先是该公司这次最为着墨的漏洞管理，该产品与软体交付供应链整合后，可以确保在软体建置或容器部署完成部署前，就先把关映像档是否足够安全。透过此功能，使用者可以分析官方OS打包档、非官方OS打包档、系统组态档案，或者映像档中介资料，系统也会产出报告。此外该平台也会定时从作业系统厂商、美国国家漏洞资料库等处蒐集最新漏洞资料。

而这个漏洞管理，可以与其它使用情境结合，加强开发安全。Sysdig举例，整合原生Jenkins套件后，在CI/CD流程中，一旦建置过程失败，系统就会触发警告。或是将容器映像档扫描纳入内部法遵规定，要求每次容器建置过程，都必须通过漏洞扫描。

再者，此功能也能和许多容器储存库整合，在映像档上传时就进行扫描，减少恶意容器映像档进入容器储存库的机率。目前支援的储存库相当丰富，包含CoreOS Quay、Amazon ECR、微软ACR、Google容器储存库、VMware Harbor，或者Docker私有储存库等。一旦有未经扫瞄映像档进入正式环境，或者系统扫描正式环境中的映像档后，发现有新漏洞存在，系统也会自动发布警示。而Sysdig也在此版本，支援了Kubernetes。在仪表板中，可以即时监看基础架构的扫描状态，包含未扫描映像数量、进行中扫描工作等。

第二个特色是资安法遵工具。在Sysdig 2.0版中以非营利组织网路安全中心（Center for Internet Security，CIS）释出的规範为标準，自动扫描基础架构，确保系统符合法遵规定，或者企业内部自订的查核机制、管理政策。

最后则是资安分析功能，Sysdig表示，这次推出的新版，提供使用者大量Metrics，例如系统事件、法遵，以及资安漏洞等数据，「让使用者能更理解自家的基础架构环境」，此功能也支援容器映像档、容器主机以及Kubernetes环境，使用者可以更快掌握这些应用程式当前的运作状况。

而Sysdig也在此版本，支援了Kubernetes。在仪表板中，可以即时监看基础架构的扫描状态，包含未扫描映像数量、进行中扫描工作的数量等资讯。图片来源：Sysdig

Sysdig表示，这次推出的新版，提供使用者大量Metrics，例如系统事件、法遵，以及资安漏洞等数据，「让使用者能更理解自家的基础架构环境」，此功能也支援容器映像档、容器主机以及Kubernetes环境，使用者可以更快掌握这些应用程式当前的运作状况。图片来源：Sysdig