容器安全套件 Twistlock 2.1 正式发布

Twistlock宣布正式发布其容器安全产品的 2.1 版本，主要包括一个可以获知应用程序流量的集成防火墙、漏洞检测、通过集成第三方工具实现的秘密管理以及合规性报警和强制执行。

名为云原生应用程序防火墙（CNAF）的集成防火墙可以获知应用程序流量（第 7 层），并预防类似 SQL 注入这样的已知漏洞。不过，运行的应用程序不同，端口和流量内容会有所差异，那么 Twistlock 如何支持这一特点？为了了解更多信息，InfoQ 联系了 Twistlock 首席技术官 John Morello：

对于 Apache、WordPress、nginx 等包含广泛动态特性的常见应用程序，我们有深厚的知识。不过，即使是一个我们以前没有见过的应用，我们也提供了核心的安全特性，如预防 SQLi 及 XSS 类型的攻击，以及根据恶意端点的实时数据集过滤流入的数据。

Morello 表示，对于“广为人知”的应用程序攻击，端口可以事先知道。对于其他攻击，CNAF 可以“自动确定监听哪个端口，并通过 Twistlock Defender 对流量进行动态地重路由，从而达到预防攻击的目的。”

Twistlock 在几年前发布的时候集成了谷歌容器引擎（GKE），后来又和Amazon Web Services 建立了合作伙伴关系。这两家云提供商都有自己的可配置防火墙。Twistlock 是在应用程序层面上增加了这个安全层，获知流入流出的各种流量。Morello 表示，“我们所做的任何事都没有和任何特定的云提供商绑定”。

Twistlock 还提供了漏洞检测。漏洞数据是由 30 多个提供商和商业威胁源直接推送的。这些信息经过分析聚合之后进入到产品的情报流。按照 Morello 的说法，由于数据直接来自一系列的提供商，所以，与其他工具相比，Twistlock 的误报率更低。还有其他的漏洞检测工具，如 vuls 和 Clair 。当我们问他，Twistlock 与同类其他工具相比怎么样时，Morello 从以下几个方面作了回答。

• Twistlock 的数据源是来自公共漏洞列表（ CVE ）的数据，这比目前支撑 vuls 或 Clair 的数据源更可靠。与其中任何一种工具相比，Twistlock 的误报率都要低。Twistlock 的扫描包含 CI/CD 工具的原生插件。它不仅会查看注册中心里的镜像，而且还会根据 CVE 发现中断构建。Twistlock 还能识别和隔离受新发现的 CVE 影响的正在运行的容器。
• 每个检测到的 CVE 都会被自动赋予一个风险值——Twistlock 会观察环境和应用程序，以便可以优先处理真正的问题。相比之下，Clair/vuls 等工具只是简单的报告检测到的 CVE。
• Twistlock 可以在 CI/CD 流程的各处创建调节阀，设定镜像在离开开发环境进入生产环境运行之前应该达到什么样的安全漏洞和合规性状态。例如，借助 Twistlock，用户可以定义类似这样的策略，“阻止把具有中等严重性或较高危险 Java 漏洞的容器部署到生产环境。”
• Twistlock 的最新版本集成了秘密管理软件，如 Hashicorp 的 Vault 和 CyberArk 的企业级密码保险箱，用来存储密码和其他安全令牌。这也是让 Docker Swarm 秘密管理功能插件化工作的一部分，Twistlock 向其贡献过代码。

该版本还有其他一些特性，包括通过 Jenkins 插件实现合规性报警，一个“集合”抽象，用于创建可重用的、基于正则表达式的文本过滤器，匹配项目和组织层次中的容器和镜像，以及一个全新的故事板。

查看英文原文： Twistlock 2.1 Container Security Suite Released