容器技术(尤其是Docker)正继续以其自有的方式在企业中发展着。它们与其他任何技术一样,IT专业人士们的任务就是为确保Docker容器的安全性而制定出一份策略。 关于Docker安全性问题,这里需要指出几点。首先,在Docker中运行容器和应用程序意味着要运行Docker守护进程,这需要root权限。
但是,这也意味着用户为这些进程提供了进入的钥匙——这正是容器如何向IT安全专业人士发出警告的一个例子。 其他的问题包括容器的灵活性,这可让它较容易地执行容器的多个实例。这些容器中有很多都具有着不同的安全补丁等级。此外,虽然经常被与虚拟化进行比较,但是Docker并不擅长隔离;容器基本上都是分离的……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
容器技术(尤其是Docker)正继续以其自有的方式在企业中发展着。它们与其他任何技术一样,IT专业人士们的任务就是为确保Docker容器的安全性而制定出一份策略。
关于Docker安全性问题,这里需要指出几点。首先,在Docker中运行容器和应用程序意味着要运行Docker守护进程,这需要root权限。但是,这也意味着用户为这些进程提供了进入的钥匙——这正是容器如何向IT安全专业人士发出警告的一个例子。
其他的问题包括容器的灵活性,这可让它较容易地执行容器的多个实例。这些容器中有很多都具有着不同的安全补丁等级。此外,虽然经常被与虚拟化进行比较,但是Docker并不擅长隔离;容器基本上都是分离的。对容器技术不熟悉的IT专业人士们并不总是能够对容器的开发和生产有着良好的理解。这样一来,那些管理和确保容器化应用程序安全性的员工们就需要快速地学会这些新技能。
容器的安全模式类似于其他分布式系统的安全模式,但是最好的实践和工具都是较新的。例如加密、身份管理以及基于角色的安全措施都能够实现与容器技术的良好协作,但是还是有一些在确保容器安全性中发挥重要作用的新工具和新系统。
确保Docker容器安全性的工具与最佳实践
Docker推出的一个名为Docker Content Trust(DCT)的新功能,它可帮助IT专业人士确保Docker的安全性。DCT使用了一个公共密钥基础设施(PKI)的方法,它提供了两个不同的密钥:一个离线(root)密钥和一个标记(每次入库)密钥,当第一次发布者推出镜像时它可创建和存储客户端。
此举有助于弥补正在使用恶意容器这一最大的漏洞。DCT还生成了一个时间戳密钥,它可保护系统免受重放攻击,即运行过期的标记内容。这解决了上面提及容器具有不同安全补丁等级的问题。
为了解决针对容器安全性的问题,包括Docker在内的众多公司都为Docker发布了安全基准。这套标准为确保Docker容器的安全性提供了指导。全篇118页的文档囊括了部署Docker容器的84个最佳实践以及一个涉及所有内容的检查清单。
那么,如果你决定自行负责确保Docker容器的安全性,但又不知道从何入手,我们在这里为你提供了一些建议:
阅读上面提及的Docker安全基准文件。重点关注与如何部署基于容器的应用程序相关的建议和最佳实践。这真的是有助于缓解你的财务压力,认真考虑大部分因糟糕设计而导致的Docker安全性问题。
考虑你的特定安全性需求。这将促使你选择正确的工具和方法。很多使用容器技术的企业对于他们基于容器的应用程序要么安全措施不足,要么安全措施过足。
尽可能多地进行测试。容器技术是新技术,因此我们需要搞清楚哪些是能够发挥作用,哪些是无用的,而要做到这一点的唯一方法就是进行安全性方面的测试,例如渗透测试。
容器安全性的发展趋势可能会与虚拟化安全性一样。虽然安全性从第一台虚拟机部署开始就是一个问题,但是多年以来积累下来的良好安全性实践、架构和工具都证明了其有效性。我们相信,Docker容器安全性的问题也同样能够得到较好解决。
相关推荐
-
获Kubernetes社区技术委员会席位:技术实力是华为最大的筹码
2017年,可谓是Kubernetes技术元年:开发者开始认识它,技术服务商开始研究它。我们看到,Kubernetes一经出世,就受到了各大巨头及初创公司的青睐,如微软、VMWare、红帽、CoreOS、Mesos等。
-
企业数字化转型:容器需纳入到发展路线图
容器技术能够帮助企业尝试实现数字化转型,但是这样做也不是无懈可击的。专家Christopher Tozzi在这里与我们分享了需要询问的正确问题。
-
收购Codenvy:红帽认为容器技术未来将继续呈碾压之势
红帽将其基于云的集成环境OpenShift.io与收购的Codenvy进行了集成。Codenvy就一家云原生工作空间管理工具制造商。
-
Docker植根中国:镜像服务更快、更稳定
Docker容器一经出现,就因其可移植性、不依赖于任何基础设施,而为大量开发人员所喜爱。我们也看到,在经过几年 […]