容器技术(尤其是Docker)正继续以其自有的方式在企业中发展着。它们与其他任何技术一样,IT专业人士们的任务就是为确保Docker容器的安全性而制定出一份策略。
关于Docker安全性问题,这里需要指出几点。首先,在Docker中运行容器和应用程序意味着要运行Docker守护进程,这需要root权限。但是,这也意味着用户为这些进程提供了进入的钥匙——这正是容器如何向IT安全专业人士发出警告的一个例子。
其他的问题包括容器的灵活性,这可让它较容易地执行容器的多个实例。这些容器中有很多都具有着不同的安全补丁等级。此外,虽然经常被与虚拟化进行比较,但是Docker并不擅长隔离;容器基本上都是分离的。对容器技术不熟悉的IT专业人士们并不总是能够对容器的开发和生产有着良好的理解。这样一来,那些管理和确保容器化应用程序安全性的员工们就需要快速地学会这些新技能。
容器的安全模式类似于其他分布式系统的安全模式,但是最好的实践和工具都是较新的。例如加密、身份管理以及基于角色的安全措施都能够实现与容器技术的良好协作,但是还是有一些在确保容器安全性中发挥重要作用的新工具和新系统。
确保Docker容器安全性的工具与最佳实践
Docker推出的一个名为Docker Content Trust(DCT)的新功能,它可帮助IT专业人士确保Docker的安全性。DCT使用了一个公共密钥基础设施(PKI)的方法,它提供了两个不同的密钥:一个离线(root)密钥和一个标记(每次入库)密钥,当第一次发布者推出镜像时它可创建和存储客户端。
此举有助于弥补正在使用恶意容器这一最大的漏洞。DCT还生成了一个时间戳密钥,它可保护系统免受重放攻击,即运行过期的标记内容。这解决了上面提及容器具有不同安全补丁等级的问题。
为了解决针对容器安全性的问题,包括Docker在内的众多公司都为Docker发布了安全基准。这套标准为确保Docker容器的安全性提供了指导。全篇118页的文档囊括了部署Docker容器的84个最佳实践以及一个涉及所有内容的检查清单。
那么,如果你决定自行负责确保Docker容器的安全性,但又不知道从何入手,我们在这里为你提供了一些建议:
阅读上面提及的Docker安全基准文件。重点关注与如何部署基于容器的应用程序相关的建议和最佳实践。这真的是有助于缓解你的财务压力,认真考虑大部分因糟糕设计而导致的Docker安全性问题。
考虑你的特定安全性需求。这将促使你选择正确的工具和方法。很多使用容器技术的企业对于他们基于容器的应用程序要么安全措施不足,要么安全措施过足。
尽可能多地进行测试。容器技术是新技术,因此我们需要搞清楚哪些是能够发挥作用,哪些是无用的,而要做到这一点的唯一方法就是进行安全性方面的测试,例如渗透测试。
容器安全性的发展趋势可能会与虚拟化安全性一样。虽然安全性从第一台虚拟机部署开始就是一个问题,但是多年以来积累下来的良好安全性实践、架构和工具都证明了其有效性。我们相信,Docker容器安全性的问题也同样能够得到较好解决。
本文作者:滕晓龙
来源:51CTO
