Мониторинг метрик и событий Docker

За последние несколько лет использование контейнеров для создания, совместного использования и запуска приложений значительно возросло. Этот рост обусловлен тем фактом, что контейнеры дают разработчикам возможность упаковывать код приложения и все его зависимости. Кроме того, с помощью контейнеров пользователи могут получить дополнительный уровень безопасности благодаря возможностям изоляции, которые он предоставляет. Внедрение контейнеров Docker открыло многим организациям возможность легко размещать приложения в контейнерах. Контейнеры Docker - это стандартизированные, легкие и безопасные экземпляры образа Docker во время выполнения.

Готовые контейнеры не обеспечивают мониторинг безопасности. Поэтому важно иметь полное представление о том, что происходит во время выполнения. Это гарантирует бесперебойную работу контейнеров без проблем с безопасностью, которые могут легко повлиять на другие контейнеры и всю инфраструктуру. Некоторые аспекты безопасности, на которые следует постоянно обращать внимание при запуске контейнеров Docker::

• Управление контейнерами: Управление контейнерами Docker включает в себя контроль действий, выполняемых с контейнером, для обеспечения бесперебойной работы. Субъекты угроз могут получить доступ к контейнерам и выполнять вредоносные действия, такие как просмотр критически важного содержимого, открытие портов, создание, остановка или даже уничтожение контейнеров. Способность различать необычные события Docker может быть сложной задачей. Наблюдение за этими действиями практически в режиме реального времени по мере их выполнения может помочь организациям, использующим контейнеры Docker, принимать более обоснованные решения.
• Потребление ресурсов контейнера: мониторинг производительности контейнера позволяет получить представление об использовании его ресурсов. Некоторые основные ресурсы включают процессор, память, диск и сетевой трафик. С помощью мониторинга ресурсов организации могут отслеживать потребление контейнерных ресурсов и устанавливать меры по повышению эффективности. Эти действия предотвращают дисбаланс контейнерных ресурсов в докеризованных инфраструктурах. Кроме того, это обеспечивает лучшую видимость инфраструктуры в случае инцидента с безопасностью.
• Работоспособность контейнера: проверка работоспособности контейнера помогает организации узнать о наличии рабочей нагрузки. Состояние работоспособности контейнера отличается от его фактического состояния эксплуатации. Например, контейнер может запускаться, в то время как веб-сервер, работающий в контейнере, может быть отключен и не способен обрабатывать запросы. Это может быть связано с атакой, которая, если ее не отслеживать, может сохраниться и нанести ущерб организации. Мониторинг состояния работоспособности контейнера помогает уменьшить площадь поражения и предотвратить аномалии в контейнере.

Организациям необходимо быстро и активно выявлять и устранять угрозы, чтобы избежать рисков компрометации. Для этого необходимо отслеживать вышеуказанные критерии, и это может быть достигнуто с помощью решений для мониторинга безопасности.

Использование Wazuh для мониторинга контейнеров

Wazuh - это платформа безопасности с открытым исходным кодом с унифицированными возможностями XDR и SIEM. Его архитектура включает центральные компоненты Wazuh (сервер, индексатор и панель мониторинга) и универсальный агент. Решение обеспечивает защиту устройств в облаках и локальных инфраструктурах. Wazuh имеет множество функций, начиная от мониторинга контейнеров, мониторинга целостности файлов, обнаружения уязвимостей, оценки конфигурации безопасности и многого другого. Wazuh является мультиплатформенным и расширяет свою гибкость за счет интеграции с другими решениями безопасности.

На рисунке 1 ниже показан пример мониторинга контейнеров Docker в режиме реального времени с использованием Wazuh.

Рисунок 1. Мониторинг контейнеров Docker в режиме реального времени с использованием Wazuh

Для приведенных ниже вариантов использования агент Wazuh устанавливается на конечных точках, на которых запущены контейнеры Docker. Агент собирает данные о безопасности и времени выполнения из контейнеров и пересылает их на сервер Wazuh для анализа журналов, сопоставления и оповещения.

Мониторинг событий контейнера

Wazuh имеет модуль Docker, который взаимодействует с API Docker Engine для сбора информации о контейнерах Docker. Единственная необходимая конфигурация - включить модуль прослушивания Docker, позволяющий нам отслеживать события Docker. Панель мониторинга Wazuh на рисунке 2 ниже показывает пример обнаруженных событий контейнера в среде Docker.

Рисунок 2. События Docker, обнаруженные в среде Docker

Мониторинг использования ресурсов контейнера

Wazuh можно использовать для мониторинга производительности контейнеров Docker в конечной точке.  Модуль мониторинга команд Wazuh позволяет отслеживать вывод определенных команд и соответствующим образом запускать оповещения. Это дает организациям четкое представление о контейнере на предмет аномальных действий. Панель мониторинга Wazuh на рисунке 3 ниже показывает потребление ЦП, памяти и сетевого трафика контейнерами в конечной точке.

Рисунок 3. Потребление ресурсов контейнерами в среде Docker

Мониторинг работоспособности контейнера

Модуль мониторинга команд Wazuh используется для мониторинга состояния работоспособности контейнеров в Dockerized средах. На рисунке 4 ниже показано состояние работоспособности контейнеров, запущенных на конечной точке.

Рисунок 4: Состояние работоспособности контейнеров в среде Docker

Заключение

Надежный мониторинг и простая отладка являются ключевыми факторами безопасности контейнера. Это обеспечивает полный охват метрик и событий, происходящих в ваших инфраструктурных контейнерах с докеризацией. Мы видели, как Wazuh облегчает и улучшает видимость организации с помощью своих возможностей мониторинга безопасности контейнеров. Ознакомьтесь с этой документацией, чтобы получить подробное объяснение того, как выполнять мониторинг контейнера с помощью Wazuh.

Wazuh бесплатен в использовании, прост в развертывании и имеет постоянно растущее сообщество, которое поддерживает тысячи пользователей. Чтобы начать работу с Wazuh, ознакомьтесь с руководством по установке Quickstart и ознакомьтесь с его функциями.