Docker 紧急安全更新,多重保障让您的应用更加安全!

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 2月11日,Docker 发布了更新包来修复 runC 中的权限提升漏洞(CVE-2019-5736),这是在 Docker Engine 和 containerd 中使用 Open Container Initiative的运行时规范。

screenshot

出品丨Docker公司(ID:docker-cn)
编译丨小东
每周一、三、五,与您不见不散!


2月11日,Docker 发布了一个更新包来修复 runC 中的权限提升漏洞(CVE-2019-5736),这是在 Docker Engine 和 containerd 中使用 Open Container Initiative(OCI) 的运行时规范。这个漏洞使恶意参与者有可能通过创建专门制作的容器镜像来获得主机上的管理特权。Docker 工程师与 OCI 上的 runC 维护人员通力合作,专门为该漏洞发布了补丁。


Docker 官方建议立即进行应用更新以避免出现任何潜在的安全威胁。对于 Docker Engine-Community 用户,这意味着要更新到 18.09.2 或 18.06.2 版本。对于 Docker Engine- Enterprise 用户,这意味着要更新到 18.09.2、18.03.1-ee-6 或 17.06.2-ee-19 版本。根据 Ubuntu 和 RHEL 操作系统的具体说明,请在应用更新之前阅读发布说明(浏览 https://docs.docker.com/engine/release-notes/ 查看发布说明)。

解决该漏洞的 Docker Engine 版本摘要:

screenshot

为了更好地保护 Docker Engine 运行的容器镜像,以下是一些额外的建议和最佳实践。


使用 Docker 官方图像

官方图像是一组托管在 Docker Hub 上的 Docker 镜像仓库,旨在:

  • 提供必要的基本操作系统镜像仓库(例如:ubuntu 以及 centos),作为大多数用户的起点;
  • 为流行的编程语言运行时、数据存储和其他服务提供通用的解决方案;
  • 列举 Dockerfile 的最佳实践,并提供清晰的文档,以供其他 Dockerfile 作者参考。特定于这个漏洞,以非特权用户的身份运行容器(如 Dockerfile 中的用户实践一节所述)可以缓解该问题;
  • 确保应用及时进行安全更新。应立即进行应用安全更新,用户应该重建并发布其镜像,这一点尤为重要,因为许多官方镜像是 Docker Hub 上最受欢迎的镜像;

Docker 有一个专门的团队,负责审查和发布官方镜像中的所有内容。 该团队与上游软件维护人员、安全专家和更广泛的 Docker 社区进行合作来确保这些镜像的安全性。


使用 Docker 认证的容器

Docker Enterprise 容器平台使您可以确保镜像的完整性。安全性不是静态的一次性活动,而是贯穿应用程序管道的不同阶段跟踪应用程序的连续流程。为了防止系统受到破坏,Docker Enterprise 在整个供应链中提供集成的安全性保障。遵循安全最佳实践并运行基于 Docker 认证镜像可信代码的 Docker Enterprise 用户可以确保他们的软件镜像:

  • 经过验证的发布者已经过 Docker Enterprise 容器平台的测试和支持;
  • 遵循 Docker 容器最佳实践来构建 dockerfiles 和 images;
  • 通过功能 API 测试套件;
  • 完成漏洞扫描评估;

Docker 认证为用户和企业提供了一种可靠的方式,可以在 Docker 和发布者的支持下在容器中运行更多技术。客户可以使用可见的标志快速识别经过认证的内容,并确信它们是使用最佳实践构建的,同时它们也是经过测试可在 Docker Enterprise 上顺利运行的。


利用 Docker Enterprise 特性提供额外的保护

Docker Enterprise 通过内容验证和运行时应用程序安全性在整个软件供应链中提供额外的保护层。这包括基于角色的访问控制(RBAC)和用于跨多个团队的灵活和细粒度的访问权限来确定组织中谁可以运行容器。管理员还可以通过设置策略来限制任何用户在群集上运行特权容器的能力。

此外,Docker Content Trust 支持加密数字签名来确认容器镜像的出处和真实性,实际上为您的运营团队提供有关应用程序作者的详细信息,并确认其未以任何方式被篡改或修改。通过在运行时实施策略,Docker Enterprise 可确保只有受信任的团队签署的容器镜像才能在集群中运行。


扩 展

相关实践学习
通过ACR快速部署网站应用
本次实验任务是在云上基于ECS部署Docker环境,制作网站镜像并上传至ACR镜像仓库,通过容器镜像运行网站应用,网站运行在Docker容器中、网站业务数据存储在Mariadb数据库中、网站文件数据存储在服务器ECS云盘中,通过公网地址进行访问。
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
相关文章
|
1月前
|
Kubernetes Docker Python
Docker 与 Kubernetes 容器化部署核心技术及企业级应用实践全方案解析
本文详解Docker与Kubernetes容器化技术,涵盖概念原理、环境搭建、镜像构建、应用部署及监控扩展,助你掌握企业级容器化方案,提升应用开发与运维效率。
437 108
|
14天前
|
前端开发 JavaScript 应用服务中间件
在Docker部署的前端应用中使用动态环境变量
以上步骤展示了如何在 Docker 配置过程中处理并注入环墨遁形成可执行操作流程,并确保最终用户能够无缝地与之交互而无须关心背后复杂性。
56 13
|
2月前
|
存储 监控 Java
如何对迁移到Docker容器中的应用进行性能优化?
如何对迁移到Docker容器中的应用进行性能优化?
244 58
|
2月前
|
缓存 Java Docker
如何对应用代码进行优化以提高在Docker容器中的性能?
如何对应用代码进行优化以提高在Docker容器中的性能?
201 1
|
1月前
|
运维 Cloud Native Docker
Docker:重塑现代应用交付的基石
Docker:重塑现代应用交付的基石
|
5月前
|
监控 Java Go
无感改造,完美监控:Docker 多阶段构建 Go 应用无侵入观测
本文将介绍一种基于 Docker 多阶段构建的无侵入 Golang 应用观测方法,通过此方法用户无需对 Golang 应用源代码或者编译指令做任何改造,即可零成本为 Golang 应用注入可观测能力。
310 85
|
3月前
|
安全 Java Docker
Docker 部署 Java 应用实战指南与长尾优化方案
本文详细介绍了Docker容器化部署Java应用的最佳实践。首先阐述了采用多阶段构建和精简JRE的镜像优化技术,可将镜像体积减少60%。其次讲解了资源配置、健康检查、启动优化等容器化关键配置,并演示了Spring Boot微服务的多模块构建与Docker Compose编排方案。最后深入探讨了Kubernetes生产部署、监控日志集成、灰度发布策略以及性能调优和安全加固措施,为Java应用的容器化部署提供了完整的解决方案指南。文章还包含大量可落地的代码示例,涵盖从基础到高级的生产环境实践。
166 3
|
7月前
|
中间件 关系型数据库 数据库
docker快速部署OS web中间件 数据库 编程应用
通过Docker,可以轻松地部署操作系统、Web中间件、数据库和编程应用。本文详细介绍了使用Docker部署这些组件的基本步骤和命令,展示了如何通过Docker Compose编排多容器应用。希望本文能帮助开发者更高效地使用Docker进行应用部署和管理。
198 19
|
7月前
|
运维 应用服务中间件 nginx
docker运维查看指定应用log文件位置和名称
通过本文的方法,您可以更高效地管理和查看Docker容器中的日志文件,确保应用运行状态可控和可监测。
817 28
|
10月前
|
安全 网络安全 数据安全/隐私保护
利用Docker的网络安全功能来保护容器化应用
通过综合运用这些 Docker 网络安全功能和策略,可以有效地保护容器化应用,降低安全风险,确保应用在安全的环境中运行。同时,随着安全威胁的不断变化,还需要持续关注和研究新的网络安全技术和方法,不断完善和强化网络安全保护措施,以适应日益复杂的安全挑战。
289 61