【转载】详解Docker 最低特权编排原则，安全与效率并行！（二）

写在前面

Docker 平台和容器已经逐渐成为打包、部署和管理应用程序的标准。为了让容器在集群中于多节点间协调运行，这就需要一个关键功能：容器编排工具（container orchestrator）。上一篇我们着重介绍了第一部分信任引导和节点介绍与第二部分节点身份签发和管理的相关内容（请参考文章：详解Docker 最低特权编排原则，安全与效率并行！（一）），下面小编将对容器编排的余下部分进行详细解读。

回顾：默认安全核心

IT领域有一个安全准则，它规定：如果不是默认的，就没有人会使用它。 Docker Swarm Mode将这一理念带入产品中，并配有默认机制来解决编排生命周期中最困难和最重要的三个方面（本篇将介绍第三个方面）：

• 信任引导和节点介绍；
• 节点身份签发和管理；
• 对认证、授权、加密过的信息进行存储和分发；

对认证、授权、加密过的信息进行存储和分发

在Swarm的正常运行期间，相关任务的信息必须发送到工作节点执行。这不仅提供了该节点将执行哪个容器的信息，而且还提供了成功执行该容器所需的全部资源以及一些敏感的秘密信息，如私钥、密码和API令牌。

安全传递

事实上，参与Swarm 的每个节点都拥有在X509证书形式中的唯一身份。节点之间的安全通信是不重要的：节点可以使用他们各自的证书来建立彼此之间已认证的连接，继承其机密性、TLS的真实性和完整性。

关于Swarm Mode 的一个有趣的细节是它所使用的推送模型：即只允许管理人员向工作人员发送信息——极大的减少了管理员节点的攻击平面。

把工作负载精确的分离到安全区

管理员节点的职责之一是决定应该向哪些工作节点发送哪些任务。管理者运用多种策略来做出决定，根据每个节点的独特属性和每个节点的工作负载来调度整个Swarm中的工作负载。

在具有Swarm Mode的Docker 企业版（EE）中，管理员可以通过使用安全附加到各个节点身份的标签来影响这些调度决策。这些标签允许管理员将节点分组到不同的安全区域，从而限制对特定敏感工作负载的暴露以及与之相关的任何秘密。

安全、秘密信息的分发

除了促进身份签发过程之外，管理员节点还具有存储和分发工作人员所需资源的重要任务。对待秘密信息就如同对待任何其它类型的资源一样，通过安全的mTLS进行连接，使其从管理员节点分发到工作人员节点。

在主机上，Docker企业版（EE）确保将秘密信息只提供给他们预定的容器。同一主机上的其他容器将无法访问这些内容。Docker向容器所公开的秘密信息只是作为一个临时文件系统，并且Docker确保这些秘密信息总是存储在内存中，永远不会存储到磁盘上。这种方法比其它竞争者的替代方案更加安全，一旦任务完成，秘密信息就永远消失了。

储存秘密信息

在管理者的主机上，秘密信息总是在休息时下进行加密。默认情况下，加密这些秘密信息（被称为DEK）的密钥也存储在磁盘中的纯文本里。这使得那些最低安全需求的人可以很容易的开始使用Docker Swarm mode。

但是，您一旦运行了生产集群，我们将建议您启用自动锁定模式。当启用自动锁定模式时，使用单独的密钥加密密钥（KEK）对新更新的DEK进行加密。此密钥永远不会存储在群集上，管理员负责安全地存储它，并在集群启动时提供它，这被称为Swarm解锁。

Swarm Mode支持多个管理员模式，根据Raft Consensus Algorithm来进行容错管理。在这种情况下，安全的秘密信息存储可以进行无缝扩展。除了共享密钥之外，每个管理员主机都拥有唯一的磁盘加密密钥。此外，Raft日志也在磁盘上进行了同样的加密处理，并且在自动锁定模式下，如果没有KEK，同样无法对其进行解密处理。

当节点受到威胁时会发生什么？

在传统的编排中，对受到劫持的主机进行恢复是一个缓慢而复杂的过程。如今使用Swarm Mode，恢复它就像运行docker rm命令一样简单，它将从集群中删除受到影响的节点。Docker将会处理其余部分，即重新调整服务，以确保其他主机清楚不会与受到影响的节点进行通信。

正如我们所看到的，由于最低特权编排原则，即使攻击者仍然活跃在主机上，管理员也可以从网络的其余部分将它们切断。这个代表其身份的主机证书也将会被管理员列入黑名单，并视其为无效证书。

总结

在具有Swarm Mode的Docker 企业版（EE）中，默认情况下确保了所有关键领域的安全：

• 加入群集——防止恶意节点加入群集；
• 将主机组织到安全区域——防止攻击者横向移动；
• 调度任务——任务只签发给指定和认证过的节点；
• 存储秘密信息——从不以明文形式存储，也从不在工作人员节点上写入磁盘；
• 与工作人员节点交流——使用相互验证的TLS进行加密；

随着Swarm Mode的不断改进，Docker团队正在努力的将最低特权容器编排原则进一步推进。我们正在处理的任务是：如果管理员节点遭到入侵，如何保证系统安全？路径图已经就位，其中的一些功能已经可以使用，例如对具体的Docker镜像列出白名单，预防管理员随意的分发工作负载。这些功能都可以通过使用Docker Content Trust来实现。