AI 助理
备案控制台
开发者社区 云原生 文章 正文

使用Docker保护软件供应链安全

2017-08-01 1652
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

在Docker内部,我们花了很多时间讨论一个话题:如何将运行时安全和隔离作为容器架构的一部分?然而这只是软件流水线的一部分。

我们需要的不是一次性的标签或设置,而是需要将安全放到软件生命周期的每个阶段。

由于软件供应链上的人、代码和基础设施一直在改变,交互也越来多,组织(公司)必须将安全纳入供应链的核心部分。

考虑一个实际存在的产品:如电话,仅仅考虑到最终产品的安全性是不够的。除了决定使用什么样的防盗包装,你可能也想知道材料的来源,以及他们是如何组装,包装,运输。因为,重要的是我们还要确保手机不被改造或运输途中被盗。

软件供应链几乎跟实际产品的供应链是相同的。你必须能够识别和信任原材料(代码、依赖、打包),把它们组装在一起后,将它们从海上、陆上或空中(网络)运输到一个存储地(存储库),以便将项目(应用)出售(部署)给终端用户。

确保软件供应链也十分相似。你需要:

  • 确定流水线中的所有东西,从人,代码,依赖关系,到基础设施
  • 确保一个一致和优质的构建过程
  • 在存储和运输中保护产品
  • 对材料清单的交付保证并验证最终产品

在这篇文章中,我们将诠释Docker的安全特性如何为软件供应链提供持续的安全。

身份

整个流水线构建在身份验证和访问控制之上 。从根本上说,你需要知道谁可以访问什么资产,可以使用哪些操作。

Docker 架构中的身份认证理念很清晰,它隐藏在软件供应链策略中:加密密钥允许发布者对镜像进行签名,以保证其来源的真实性。

一致的构建:好的输入= 好的输出

确定一致的构建允许你创建一个可重复的过程,并控制你的应用程序依赖和组件,以便使它更容易测试出缺陷和漏洞。当你对你的组件有一个清晰认识的时候,它变得更容易识别异常的组件。

要获得一致的构建,你必须确保你添加了优质的组件:

  • 评价依赖的质量,确保它是最新/兼容的版本,并用你的软件进行测试
  • 验证组件来自于你期望的来源,并且在传输过程中没有损坏或改变
  • 确定依赖后不要轻易改变,确保后续重建是一致的,因此如果一个缺陷是由代码或依赖的变化引起的,很容易被发现
  • 使用Docker Content Trust ,从可信的、有标识的基础镜像中构建你的镜像

使用签名”密封”构建结果

应用程序签名是从构建进行有效“密封”的一步。通过镜像签名,可以确保任何在接收端(docker pull)的签名验证与镜像发布者建立一个安全链。

这种关系保证了镜像在传输过程中不被改变、添加、或删除。此外,签名表明发布者“赞同”你拉取的该镜像是没问题的 。

在构建机器和运行环境上启用 Docker Content Trust后,一个策略就会生效:只有签名镜像才可以被拉取并运行在那些 Docker 主机上。

在组织中,签名的镜像向其他人传递一个信号:发布者(构建者)声明镜像是没问题的。

安全扫描和风控

CI系统和开发者都需要确认一件事情:构建工具与依赖一起工作,操作你的应用程序时,无论在成功还是失败,都有预期的行为。

但他们审查过依赖的漏洞吗?审查过子依赖或捆绑系统库的依赖吗?他们知道依赖的许可证吗?这种审查很难通过常规的方式来完成,因为提供错误修正和功能上是一个巨大的开销。

Docker 安全扫描有助于镜像的自动化扫描。因为这是发生在镜像被推送到registry之前,在容器被部署进生产环境之前的最后一次检查。

该功能目前在Docker Cloud 中可用,并且很快延伸到Docker Datacenter。安全扫描创建了一个清单,清单中包括镜像每一层的打包信息和版本信息。

这份材料清单被用于连续监测各种 CVE 数据库。确保该扫描不止一次地发生,并在爆出新漏洞时,及时通知使用镜像的系统管理员或应用程序开发者。

多重签名-- 把签名绑在一起

安全保证最强大的一点来自Docker Content Trust 签名,它允许多个签名者参与容器的签名过程。要了解这一点,想象一个简单的 CI 过程,通过以下步骤移动容器镜像:

  1. 自动化CI
  2. Docker 安全扫描
  3. 推送到 staging环境
  4. 推送到 production 环境

这里有四个阶段,每个阶段完成后,都可以添加一个签名,从而CI/CD 过程的每一个阶段都有验证。

  1. 镜像通过CI 吗?添加签名!
  2. Docker Security Scanning 确定镜像没有漏洞?添加签名!
  3. staging阶段中构建成功?添加签名!
  4. 验证所有3个签名的镜像并将其部署到生产中

现在构建被部署到生产集群之前,它可以加密验证,CI / CD过程各阶段已经签订了一个镜像。

结论

在软件生命周期的每个环节,Docker 平台都允许企业将安全纳入其中。从与用户建立信任,到基础设施和代码,docker模型给了开发者以及 IT团队足够的自由和控制力。

从构建安全的基础镜像,到扫描每一个镜像验证签名,每个特性都允许IT人员将信任植入到应用中。

当应用沿着正常的生命周期不断前行,安全信息也能够动态维护和更新,并在部署到生产环境之前通过风控检查。


作者:时速云

来源:51CTO

文章标签:
容器
安全
Docker
数据安全/隐私保护
存储
关键词:
Docker安全
Docker软件
Docker软件安全
Docker供应链
Docker软件供应链
云栖大讲堂
目录
相关文章
游客mldfis24krfue
|
5月前
|
存储 安全 数据安全/隐私保护
在Docker中,Docker安全么?
在Docker中,Docker安全么?
游客mldfis24krfue
180 0
今天是几号
|
7月前
|
Cloud Native 安全 Docker
云上攻防-云原生篇&Docker安全&系统内核&版本&CDK自动利用&容器逃逸
云上攻防-云原生篇&Docker安全&系统内核&版本&CDK自动利用&容器逃逸
今天是几号
143 5
土木林森
|
8月前
|
监控 安全 数据安全/隐私保护
【Docker专栏】Docker容器安全:防御与加固策略
【5月更文挑战第7天】本文探讨了Docker容器安全,指出容器化技术虽带来便利,但也存在安全隐患,如不安全的镜像、容器逃逸、网络配置不当等。建议采取使用官方镜像、镜像扫描、最小权限原则等防御措施,并通过安全的Dockerfile编写、运行时安全策略、定期更新和访问控制等加固容器安全。保持警惕并持续学习安全实践至关重要。
土木林森
739 7
【Docker专栏】Docker容器安全:防御与加固策略
土木林森
|
8月前
|
运维 安全 Docker
【Docker 专栏】Docker 镜像安全扫描与漏洞修复
【5月更文挑战第9天】Docker技术在软件开发和部署中带来便利,但其镜像安全问题不容忽视。本文探讨了Docker镜像安全扫描与漏洞修复,强调了镜像安全对应用和系统的重要性。文中介绍了静态和动态扫描方法,列举了软件漏洞、配置漏洞和恶意软件等常见安全问题,并提到了Clair和Trivy等扫描工具。修复策略包括更新软件、调整配置和重建镜像。此外,加强安全意识、规范镜像制作流程和定期扫描是管理建议。未来,将持续面对新的安全挑战,需持续研究和完善安全技术。
土木林森
575 3
【Docker 专栏】Docker 镜像安全扫描与漏洞修复
技术蜜糖罐
|
7月前
|
安全 持续交付 Docker
精通 Docker:简化开发、部署与安全保障
精通 Docker:简化开发、部署与安全保障
技术蜜糖罐
64 0
技术蜜糖罐
|
7月前
|
安全 数据安全/隐私保护 Docker
Docker 容器连接:构建安全高效的容器化网络生态
Docker 容器连接:构建安全高效的容器化网络生态
技术蜜糖罐
107 0
hhzz
|
8月前
|
负载均衡 容灾 安全
Docker Swarm总结+基础、集群搭建维护、安全以及集群容灾(1/5)
Docker Swarm总结+基础、集群搭建维护、安全以及集群容灾(1/5)
hhzz
307 2
江帅帅
|
8月前
|
监控 安全 Docker
《Docker 简易速速上手小册》第6章 Docker 网络与安全(2024 最新版)
《Docker 简易速速上手小册》第6章 Docker 网络与安全(2024 最新版)
江帅帅
68 0
DarrenPig
|
8月前
|
KVM 虚拟化 Android开发
DP读书:鲲鹏处理器 架构与编程(十二)鲲鹏软件实战案例Docker+KVM的部署
DP读书:鲲鹏处理器 架构与编程(十二)鲲鹏软件实战案例Docker+KVM的部署
DarrenPig
210 1
晓之以理的喵~~
|
8月前
|
监控 安全 持续交付
Docker与容器化安全:漏洞扫描和安全策略
容器化技术,特别是Docker,已经成为现代应用程序开发和部署的关键工具。然而,容器化环境也面临着安全挑战。为了保障容器环境的安全性,本文将介绍如何进行漏洞扫描、制定安全策略以及采取措施来保护Docker容器。我们将提供丰富的示例代码,以帮助大家更好地理解和应对容器安全的问题。
晓之以理的喵~~
560 0

热门文章

最新文章

  • 1
    Docker 镜像加速器配置指南
  • 2
    2024 年 docker 提示index.docker.io
  • 3
    《docker基础篇:2.Docker安装》包括前提说明、Docker的基本组成、Docker平台架构图解(架构版)、安装步骤、阿里云镜像加速、永远的HelloWorld、底层原理
  • 4
    阿里云服务器一键安装Docker社区版教程,基于系统运维管理OOS
  • 5
    docker容器为啥会开机自启动
  • 6
    《docker基础篇:4.Docker镜像》包括是什么、分层的镜像、UnionFS(联合文件系统)、docker镜像的加载原理、为什么docker镜像要采用这种分层结构呢、docker镜像commit
  • 7
    Kubernetes(k8s)和Docker Compose本质区别
  • 8
    7 个最能提高生产力的 Docker 容器
  • 9
    Docker:WARNING: Published ports are discarded when using host network mode 解决方法
  • 10
    《docker基础篇:6.本地镜像发布到私有库》包括本地镜像发布到私有库流程、docker regisry是什么、将本地镜像推送到私有库
  • 1
    docker安装nginx,前端项目运行
    51
  • 2
    docker私有仓库harbor安装
    51
  • 3
    Docker-基础(数据卷、自定义镜像、Compose)
    57
  • 4
    tomcat相关概念与部署tomcat多实例-zabbix监控(docker部署)
    50
  • 5
    Docker-基础(数据卷、自定义镜像、Compose)
    58
  • 6
    tomcat相关概念与部署tomcat多实例-zabbix监控(docker部署)
    43
  • 7
    《docker基础篇:2.Docker安装》包括前提说明、Docker的基本组成、Docker平台架构图解(架构版)、安装步骤、阿里云镜像加速、永远的HelloWorld、底层原理
    241
  • 8
    docker容器为啥会开机自启动
    158
  • 9
    tomcat相关概念与部署tomcat多实例-zabbix监控(docker部署)
    55
  • 10
    docker容器为啥会开机自启动
    41

    • 相关课程

    更多
  • 深入解析Docker容器化技术
  • 基于Docker与Jenkins实现自动化部署
  • Docker 快速入门
  • Docker完全自学手册图文教程
  • AI开发者的Docker实践
  • Docker 入门

    • 相关电子书

    更多
  • 应用 Docker 进行持续交付:用技术改变交付路程
  • 从Docker到容器服务
  • 构建基因数据应用生态系统—— docker in Bio/informatics

    • 相关实验场景

    更多
  • 部署并使用Docker(AlibabaCloud Linux 3)
  • Docker Compose部署案例
  • Docker Compose入门
  • 容器镜像的制作2
  • 部署并使用Docker(Alibaba Cloud Linux 3)
  • 部署并使用Docker(CentOS 8)

    • 推荐镜像

    更多
  • docker-ce
  • docker-toolbox
  • ubuntu-ports
    • 下一篇
    阿里云oss简介和如何对接使用