开发者社区> shev> 正文

应用程序跑在Docker容器中会更安全

简介: Docker对安全的支持是与生俱来的。作为一个平台,Docker为跑在其中的所有应用程序提供安全保障,不需要在Docker之外,单独部署一套安全解决方案。
+关注继续查看

作者:Nathan McCauley 译者:廖煜

640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy
        Docker对安全的支持是与生俱来的。作为一个平台,Docker为跑在其中的所有应用程序提供安全保障,不需要在Docker之外,单独部署一套安全解决方案。

       目前,Docker Engine支持Linux Kernel中的所有功能。不仅如此,Docker还为用户提供了默认的安全配置,提供一种简单的用户体验。这些默认的安全配置可以为跑在Docker Engine中的应用程序提供更全面的保护,保障跑在容器中的应用程序更安全。当然,管理员可以根据自己的环境,修改和定制这些配置,设计出自己的安全方案。

       最近两家第三方独立机构评估了Docker Engine使用默认配置时的安全性,以下是相关报告。

       Gartner的分析师Joerg Fritsch最近在他的博客中发布了一篇文章,题目是How to Secure Docker Containers in Operation。其中提到:

“Gartner声称应用程序跑在容器中比直接跑在操作系统中更安全。即使容器崩溃了,造成的危害也是有限的。因为应用程序以容器为单位,被相互隔离开来。一个容器出错,不会影响其他容器中的应用程序,也不会影响宿主机上的应用程序。”

       NCC也发布了一份白皮书,题目是Understanding and Hardening Linux Containers,对比了目前各种容器技术的安全性,包括LXC、Docker和CoreOS。测试内容涵盖攻击范围、威胁程度、以及相关的防护功能,并对比了各种容器技术使用的默认配置和推荐配置。该白皮书中提到的一个结论值得注意,在容器中运行应用程序时,添加某些推荐配置会更安全。

“容器技术具有许多优点。从安全方面来说,容器技术创造了一种新的防护方法。通过这种方法可以减少攻击范围,并通过隔离技术,使每个应用程序仅仅暴露需要的组件、接口、函数库和网络连接。”
“技术发展到现在,我相信没有借口不把Linux应用程序跑在容器中。”
– Aaron Grattafiori, NCC Group

       下图描述了三种主流容器技术的安全评估结果。其中,Docker Engine的默认配置安全性最强。

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

       Docker提出的默认安全概念包括了平台安全、内容安全和访问安全,为企业提供了一套先进的软件支持链,从根本上保证安全。Docker使用Linux的各种隔离技术,建立起一套安全框架。Docker Datacenter也发布了一系列增强功能,包括应用程序扫描、签名、基于角色的访问权限控制(Role Based Access Control)和集群配置安全等,这些功能保证了整个软件生命周期的安全。

       一些领先的企业也开始使用Docker Datacenter提供的服务,帮助加强自身容器的安全性,比如世界最大的人力资源、HR业务流程外包解决方案提供商-ADP。这些企业为百万雇主管理他们员工的财务信息,已经使用容器处理支票,管理收益和存储敏感数据等。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【蓝桥真题6】三十块的蓝桥省赛模拟真题,做的大一都直呼上当(文末PDF原题)(中)
【蓝桥真题6】三十块的蓝桥省赛模拟真题,做的大一都直呼上当(文末PDF原题)
5 0
iOS 代码规范格式 Objective-C(上)
iOS 代码规范格式 Objective-C
7 0
【蓝桥真题6】三十块的蓝桥省赛模拟真题,做的大一都直呼上当(文末PDF原题)(下)
【蓝桥真题6】三十块的蓝桥省赛模拟真题,做的大一都直呼上当(文末PDF原题)
6 0
图神经网络02-图与图学习(上)
图(graph)近来正逐渐变成机器学习的一大核心领域,在开始PGL框架学习之前,我们先简单学习一下图论的基本概念,图论的经典算法,以及近些年来图学习的发展。
4 0
01-小程序:开发入门篇
01-小程序:开发入门篇
5 0
02-小程序:Flex布局
02-小程序:Flex布局
4 0
【蓝桥真题7】贴吧车队作弊?应对线上考和双填趋势,我们该如何备考?(下)
【蓝桥真题7】贴吧车队作弊?应对线上考和双填趋势,我们该如何备考?
3 0
飞天加速计划活动总结
通过使用ESC,我了解到云服务器的一些使用技巧,也更熟悉了Linux系统相关操作;当时过程中也遇到了一些困难,但这就是一个学习的过程;有困难才会使人进步。
4 0
03-小程序实战 (一):豆瓣登录
03-小程序实战 (一):豆瓣登录
2 0
+关注
shev
精灵云(www.ghostcloud.cn)联合创始人,20年编程经验,全栈工程师,曾任索贝数码及赛门铁克架构师架构师,精通分布式系统开发,2013年开始研究LXC和Docker相关技术,目前主要从事容器云平台研发工作。
65
文章
2
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载