Docker安全性不成熟 但在可控范围内

Gartner公司的分析师发表一份声明,指出尽管这款容器化工具已经闯出了响亮的名号,但Docker的安全性仍然不够成熟。

于近期发表的这篇《Docker管理下的容器安全性评估》指出,“Linux容器在成熟程度方面已经足以应对私有以及公有PaaS的实际需求”,但“……在安全性管理与控制方面的表现却令人失望,而且也无法为常见控制任务在机密性、完整性与可用性等方面提供必要支持。”

这份文件同时表示,将Docker运行在虚拟机管理程序当中—一般指VMware环境,而非微软虚拟环境—并不一定能够带来切实有效的助益。

“在大多数情况下,Docker可能会被部署在以虚拟机管理程序为基础的访客服务器之上,”分析师Joerg Fritsch写道。“不过除了进一步导致资源之间的相互隔离,Docker并不能从底层虚拟机管理程序当中得到多少实质性的助益。Docker与容器技术根本无法通过虚拟机管理程序弥合自身最为严重的两大短板:安全性保障与管理功能,外加在常见控制机制的机密性、完整性与可用性方面提供支持。事实上,虚拟机管理程序的介入只会增加新的复杂性,这一方面给管理人员带来额外的工作任务、同时也可能造成某些冲突—例如将SDN引入容器化环境。”

对于SELinux与AppArmor两个项目则传出了好消息:Fritsch表示对于那些热衷于运行Docker方案的用户来说,这两款工具可谓不可或缺。

这篇文章同时指出,Docker还是一项年轻的技术、因此目前尚未积累起能够满足实际生产需求的完整工具生态系统。必须采取专用备份机制是其中一大弱项(截至文章发稿时,Asigra公司的产品已经解决了这个难题),此外Docker容器不具备加密工具—底层操作系统只能在磁盘层面发挥作用—而且各大安全企业也还没有将注意力集中在为容器方案提供端点保护身上。

Docker还缺乏实时迁移工具,Fritsch表示,这使得虚拟机管理程序虽然能够成为很好的Docker运行基础、但在这方面仍然无法同llels的Virtuozzo比肩。

总体而言,Fritsch的基本观点是Docker在安全功能方面还算不错,而2015年当中大量第三方工具以及整合到Docker自身当中的功能提升方案将不断涌现,从而在改进可管理性的同时、真正帮助这款年轻的软件拥有满足各类实际业务预期的能力。根据他的说法,这些将陆续亮相的方案将使Docker在操作便捷性方面不断提升,届时利用已知参数实现操作将成为最佳实践,因此也就减少了企业客户对于信息安全及治理专业人士的高度依赖性。

Fritsch并没有提到Docker所面临的安全漏洞,这使得这份文件更像是针对Docker产品的一份说明性报告。

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2015-01-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏IT大咖说

大咖谈Kubernetes的建模应用

说起建模,很多小伙伴都不陌生,就是为了理解某一事物而对该事物做出的某一种抽象,是对这个事物没有歧义的一种描述,也叫建立模型。当然,建模也分系统建模,数据建模等好...

922
来自专栏CSDN技术头条

David Laube:使用OpenStack的失败记

David Laube,充满热情的互联网基础设施构建者,工作涉及托管服务、基础设施自动化和可扩展平台的部署。目前担任packet.net主管平台系统的副总裁。O...

1957
来自专栏编程坑太多

『高级篇』docker容器来说微服务导学(一)

PS:整体把握微服务,清晰理解微服务的各种概念,如果开发微服务,技术栈之间的微服务通信,怎么样把一个服务运行在docker容器里,服务之间是如何建立连接的,多种...

1665
来自专栏祝威廉

运维=平台+数据

运维的发展日新月异,曾几何时,运维仅仅是被认知为跑机房,装系统,设计网络,给开发擦屁股。但是现在运维变得极度重要,运维职责也更加细化,譬如稍大点的公司就将运维划...

6005
来自专栏企鹅号快讯

当Kubernetes和Tensorflow走在一起

译者|李建盛 编辑|Emily 背景介绍 Kubeflow 旨在让机器学习能够更加容易、可移植、可扩展的在 Kubernetes 上运行。其目的并不是简单的重新...

4799
来自专栏程序你好

采用微服务和容器架构的五个想法

作为New Relic容器Fabric项目(我们的内部容器编排和运行时平台)的首席站点可靠性工程师(SRE),我花了大量时间与现有和潜在客户一起回答关于我们如何...

913
来自专栏前沿技墅

容器即服务:从零构建企业级容器集群

6863
来自专栏SDNLAB

Docker实现跨AWS,GCP和Azure的Kubernetes部署

Docker公司为蓬勃发展的容器生态系统提供了一个中心构建模块,现在它希望帮助企业在多云环境中更好地管理该生态系统。

1233
来自专栏SDNLAB

AT&T联合SKT和Intel启动Airship OpenStack项目

2257
来自专栏SDNLAB

从SDN以及Docker看网络模型发生的变革

编者按:作者从SDN以及Docker所带来的变化出发,分析网络模型发生的变革。Docker以及其相关的应用平台的出现,让人们开始思考,其实网络不仅仅可以是一个单...

3336

扫码关注云+社区