通常,新技術(shù)都會(huì)引發(fā)安全顧慮。然而,有兩份報(bào)告都宣稱,在容器內(nèi)運(yùn)行應(yīng)用程序比在容器外更安全。
任何新技術(shù)進(jìn)入人們視線的時(shí)候,安全問題通常都是人們接納的障礙。但是,對(duì)于Docker容器,有2家公司就認(rèn)為,安全應(yīng)該是促使人們采納這一技術(shù)的驅(qū)動(dòng)力。
分析公司Gartner和網(wǎng)絡(luò)安全專家 NCC Group 發(fā)布了研究報(bào)告,詳細(xì)說明容器安全現(xiàn)狀。Docker公司安全總監(jiān)內(nèi)森·麥考利說:“重點(diǎn)在于,Gartner認(rèn)為應(yīng)用程序在Docker容器內(nèi)運(yùn)行更安全,并且將這一觀點(diǎn)推送給了他們的企業(yè)用戶。再結(jié)合上 NCC Group 確認(rèn)Docker在容器安全領(lǐng)域領(lǐng)袖地位的報(bào)告,就更具重磅意義了。”
Gartner分析師喬戈·弗里奇寫道,部署在容器里的應(yīng)用程序,實(shí)際上比直接運(yùn)行在裸機(jī)操作系統(tǒng)上要更安全,因?yàn)?ldquo;應(yīng)用程序和用戶都被隔離在一個(gè)個(gè)容器中了,這樣他們就不能感染其他容器或宿主操作系統(tǒng)了。”
NCC Group 的報(bào)告宣稱,“從安全角度,容器創(chuàng)建了減小攻擊界面和隔離應(yīng)用程序到僅包含所需組件、接口、庫(kù)和網(wǎng)絡(luò)連接的最小環(huán)境的方法。”
麥考利在8月23號(hào)發(fā)布了一篇博文,里面的一張圖表列出了Docker具備的一些關(guān)鍵安全特性,以及與其他容器選項(xiàng)的對(duì)比。這些特性中有個(gè)名為seccomp濾鏡的功能,是首次添加到2月份推出的 Docker 1.10 更新中的。Seccomp是集成到Linux內(nèi)核主干中的一種技術(shù),提供細(xì)粒度的安全控制。
Docker最新版本是1.12版,6月推出的。Gartner已經(jīng)在考慮 1.12 版的安全特性了,其中包括內(nèi)置證書授權(quán)、節(jié)點(diǎn)間相互傳輸層安全(Mutual TLS)身份驗(yàn)證和授權(quán),以及加密節(jié)點(diǎn)身份。尤為特殊的是,加密節(jié)點(diǎn)身份是驅(qū)動(dòng)未來安全特性的基礎(chǔ)模塊之一。
然而,Docker的多層次安全并不意味著所有Docker用戶就默認(rèn)安全了。恰當(dāng)?shù)乇Wo(hù)Docker容器環(huán)境,涉及到利用上Docker提供的安全功能,以及應(yīng)用最佳配置實(shí)踐。那是2015年5月發(fā)布的 Docker Bench 工具背后的理論基礎(chǔ)。Docker安全在此后又有了新改進(jìn),而Docker Bench 被設(shè)為保持跟進(jìn)。
麥考利稱:“我們正在更新 Docker Bench 以利用起1.12版中的新編配特性,并為推出的每個(gè)基準(zhǔn)持續(xù)更新我們的sysbench發(fā)布。”
京公網(wǎng)安備 11010502049343號(hào)