前方高能!保护Docker容器须知

容器技术(尤其是Docker)正继续以其自有的方式在企业中发展着。它们与其他任何技术一样,IT专业人士们的任务就是为确保Docker容器的安全性而制定出一份策略。

关于Docker安全性问题,这里需要指出几点。首先,在Docker中运行容器和应用程序意味着要运行Docker守护进程,这需要root权限。但是,这也意味着用户为这些进程提供了进入的钥匙——这正是容器如何向IT安全专业人士发出警告的一个例子。

其他的问题包括容器的灵活性,这可让它较容易地执行容器的多个实例。这些容器中有很多都具有着不同的安全补丁等级。此外,虽然经常被与虚拟化进行比较,但是Docker并不擅长隔离;容器基本上都是分离的。对容器技术不熟悉的IT专业人士们并不总是能够对容器的开发和生产有着良好的理解。这样一来,那些管理和确保容器化应用程序安全性的员工们就需要快速地学会这些新技能。

容器的安全模式类似于其他分布式系统的安全模式,但是最好的实践和工具都是较新的。例如加密、身份管理以及基于角色的安全措施都能够实现与容器技术的良好协作,但是还是有一些在确保容器安全性中发挥重要作用的新工具和新系统。

确保Docker容器安全性的工具与最佳实践

Docker推出的一个名为Docker Content Trust(DCT)的新功能,它可帮助IT专业人士确保Docker的安全性。DCT使用了一个公共密钥基础设施(PKI)的方法,它提供了两个不同的密钥:一个离线(root)密钥和一个标记(每次入库)密钥,当第一次发布者推出镜像时它可创建和存储客户端。

此举有助于弥补正在使用恶意容器这一最大的漏洞。DCT还生成了一个时间戳密钥,它可保护系统免受重放攻击,即运行过期的标记内容。这解决了上面提及容器具有不同安全补丁等级的问题。

为了解决针对容器安全性的问题,包括Docker在内的众多公司都为Docker发布了安全基准。这套标准为确保Docker容器的安全性提供了指导。全篇118页的文档囊括了部署Docker容器的84个最佳实践以及一个涉及所有内容的检查清单。

那么,如果你决定自行负责确保Docker容器的安全性,但又不知道从何入手,我们在这里为你提供了一些建议:

阅读上面提及的Docker安全基准文件。重点关注与如何部署基于容器的应用程序相关的建议和最佳实践。这真的是有助于缓解你的财务压力,认真考虑大部分因糟糕设计而导致的Docker安全性问题。

考虑你的特定安全性需求。这将促使你选择正确的工具和方法。很多使用容器技术的企业对于他们基于容器的应用程序要么安全措施不足,要么安全措施过足。

尽可能多地进行测试。容器技术是新技术,因此我们需要搞清楚哪些是能够发挥作用,哪些是无用的,而要做到这一点的唯一方法就是进行安全性方面的测试,例如渗透测试。

容器安全性的发展趋势可能会与虚拟化安全性一样。虽然安全性从第一台虚拟机部署开始就是一个问题,但是多年以来积累下来的良好安全性实践、架构和工具都证明了其有效性。我们相信,Docker容器安全性的问题也同样能够得到较好解决。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2015-11-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏星流全栈

容器是未来吗?

2174
来自专栏SDNLAB

Hyper—基于虚拟化的Docker engine

编者按:毋庸置疑,Docker在开源技术圈里是一个现象级的存在。随着Docker的兴起,整个行业都在经历一场从“虚拟化”到“容器化”的变革,而这个变革实际上是一...

4147
来自专栏云计算

在Docker平台和Moby项目中加入对Kubernetes的支持

Docker 平台正在集成对 Kubernetes 的支持,以便 Docker 的客户和开发人员可以选择使用 Kubernetes 和 Swarm 来编排容器的...

2159
来自专栏aCloudDeveloper

容器进化史

和虚拟机一样,容器技术也是一种资源隔离的虚拟化技术。我们追溯它的历史,会发现它的技术雏形早已有之。 容器简史 容器概念始于 1979 年提出的 UNIX chr...

5617
来自专栏编程坑太多

『中级篇』Docker-cloud介绍(54)

PS:以上这个图就是以后咱们通过docker需要实现的流程,也是目前很多大型互联网公司的流程。重要信息:Docker云集群和应用管理服务将会在五月廿一日关闭。用...

862
来自专栏

Docker平台和Moby项目添加Kubernetes

Docker平台正在集成对Kubernetes的支持,以便Docker客户和开发人员可以选择使用Kubernetes和Swarm来编排容器工作负载。

2495
来自专栏宝哥的专栏

Docker系列学习文章 - 什么是docker?(二)

| 导语 前面我们介绍了什么是容器,那么这篇文章我们继续跟大家讲解什么是docker。 docker是目前最火的LXC高级容器引擎,docker到现在几乎是容器...

1.4K24

Docker平台和Moby项目添加Kubernetes

Docker平台正在集成对Kubernetes的支持,以便Docker客户和开发人员可以选择使用Kubernetes和Swarm来编排容器工作负载。点击注册测试...

1918
来自专栏云计算D1net

容器技术适合你的企业吗?

容器技术,比如Docker,正在云供应商和企业间越来越流行。但是对于企业而言,容器技术是不是正确的选择呢? 容器技术正在强有力地占领云市场,随着供应商继续深入拥...

3476
来自专栏aCloudDeveloper

容器生态系统

2442

扫码关注云+社区

领取腾讯云代金券