Docker安全性不成熟 但在可控范围内

Gartner公司的分析师发表一份声明,指出尽管这款容器化工具已经闯出了响亮的名号,但Docker的安全性仍然不够成熟。

于近期发表的这篇《Docker管理下的容器安全性评估》指出,“Linux容器在成熟程度方面已经足以应对私有以及公有PaaS的实际需求”,但“……在安全性管理与控制方面的表现却令人失望,而且也无法为常见控制任务在机密性、完整性与可用性等方面提供必要支持。”

这份文件同时表示,将Docker运行在虚拟机管理程序当中—一般指VMware环境,而非微软虚拟环境—并不一定能够带来切实有效的助益。

“在大多数情况下,Docker可能会被部署在以虚拟机管理程序为基础的访客服务器之上,”分析师Joerg Fritsch写道。“不过除了进一步导致资源之间的相互隔离,Docker并不能从底层虚拟机管理程序当中得到多少实质性的助益。Docker与容器技术根本无法通过虚拟机管理程序弥合自身最为严重的两大短板:安全性保障与管理功能,外加在常见控制机制的机密性、完整性与可用性方面提供支持。事实上,虚拟机管理程序的介入只会增加新的复杂性,这一方面给管理人员带来额外的工作任务、同时也可能造成某些冲突—例如将SDN引入容器化环境。”

对于SELinux与AppArmor两个项目则传出了好消息:Fritsch表示对于那些热衷于运行Docker方案的用户来说,这两款工具可谓不可或缺。

这篇文章同时指出,Docker还是一项年轻的技术、因此目前尚未积累起能够满足实际生产需求的完整工具生态系统。必须采取专用备份机制是其中一大弱项(截至文章发稿时,Asigra公司的产品已经解决了这个难题),此外Docker容器不具备加密工具—底层操作系统只能在磁盘层面发挥作用—而且各大安全企业也还没有将注意力集中在为容器方案提供端点保护身上。

Docker还缺乏实时迁移工具,Fritsch表示,这使得虚拟机管理程序虽然能够成为很好的Docker运行基础、但在这方面仍然无法同llels的Virtuozzo比肩。

总体而言,Fritsch的基本观点是Docker在安全功能方面还算不错,而2015年当中大量第三方工具以及整合到Docker自身当中的功能提升方案将不断涌现,从而在改进可管理性的同时、真正帮助这款年轻的软件拥有满足各类实际业务预期的能力。根据他的说法,这些将陆续亮相的方案将使Docker在操作便捷性方面不断提升,届时利用已知参数实现操作将成为最佳实践,因此也就减少了企业客户对于信息安全及治理专业人士的高度依赖性。

Fritsch并没有提到Docker所面临的安全漏洞,这使得这份文件更像是针对Docker产品的一份说明性报告。

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2015-01-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏前沿技墅

容器即服务:从零构建企业级容器集群

83830
来自专栏大数据和云计算技术

Docker和hadoop

Docker很热,怎么形容?感觉开源除了spark技术,就是docker了,甚至把Go语言也带火了,把Go在TIOBE的排名从百名外带入主流语言的行列。 Doc...

44350
来自专栏云计算D1net

开发漫谈:最受DevOps欢迎的五种工具

DevOps这个词在几年前从欧美流向大陆,主要反映了开发与运维两批人之间的矛盾与磨合。从单词的角度来讲,DevOps是开发(Development)和运维(Op...

36650
来自专栏编程坑太多

『高级篇』docker之服务编排三大平台扬帆起航(21)

PS: 国内这种公司还是很多的,他们致力于帮助互联网企业来使用docker。让企业不管是传统服务,还是微服务,都可以享受到docker带来的遍历。他们的方案基本...

8730
来自专栏SDNLAB

Neutron:我前进的路还很漫长

作为一直受到广大OpenStack用户诟病的网络项目,Neutron一直在“摸索着”自身的定位。对于用户而言,稳定的商业SDN产品对于网络的管理似乎更能满足他们...

27650
来自专栏SDNLAB

Cycle推出裸机容器编排器以取代Kubernetes

23050
来自专栏企鹅号快讯

当Kubernetes和Tensorflow走在一起

译者|李建盛 编辑|Emily 背景介绍 Kubeflow 旨在让机器学习能够更加容易、可移植、可扩展的在 Kubernetes 上运行。其目的并不是简单的重新...

55090
来自专栏祝威廉

运维=平台+数据

运维的发展日新月异,曾几何时,运维仅仅是被认知为跑机房,装系统,设计网络,给开发擦屁股。但是现在运维变得极度重要,运维职责也更加细化,譬如稍大点的公司就将运维划...

1K50
来自专栏CSDN技术头条

David Laube:使用OpenStack的失败记

David Laube,充满热情的互联网基础设施构建者,工作涉及托管服务、基础设施自动化和可扩展平台的部署。目前担任packet.net主管平台系统的副总裁。O...

20870
来自专栏PHP在线

如何引导访客注册

原文出处: gkogan 译文出处:TerryFan 许多初创公司的命运几乎完全取决于一个转换点:访问者何时转换成用户。 很多时候,这个关键的任务落在了...

28060

扫码关注云+社区

领取腾讯云代金券