Gartner公司的分析師發表一份聲明,指出盡管這款容器化工具已經闖出了響亮的名號、但Docker的安全性仍然不夠成熟。
于上周發表的這篇《Docker管理下的容器安全性評估》指出,“Linux容器在成熟程度方面已經足以應對私有以及公有PaaS的實際需求”,但“……在安全性管理與控制方面的表現卻令人失望,而且也無法為常見控制任務在機密性、完整性與可用性等方面提供必要支持。”
這份文件同時表示,將Docker運行在虛擬機管理程序當中——一般指VMware環境,而非微軟虛擬環境——并不一定能夠帶來切實有效的助益。
“在大多數情況下,Docker可能會被部署在以虛擬機管理程序為基礎的訪客服務器之上,”分析師Joerg Fritsch寫道。“不過除了進一步導致資源之間的相互隔離,Docker并不能從底層虛擬機管理程序當中得到多少實質性的助益。Docker與容器技術根本無法通過虛擬機管理程序彌合自身最為嚴重的兩大短板:安全性保障與管理功能,外加在常見控制機制的機密性、完整性與可用性方面提供支持。事實上,虛擬機管理程序的介入只會增加新的復雜性,這一方面給管理人員帶來額外的工作任務、同時也可能造成某些沖突——例如將SDN引入容器化環境。”
對于SELinux與AppArmor兩個項目則傳出了好消息:Fritsch表示對于那些熱衷于運行Docker方案的用戶來說,這兩款工具可謂不可或缺。
這篇文章同時指出,Docker還是一項年輕的技術、因此目前尚未積累起能夠滿足實際生產需求的完整工具生態系統。必須采取專用備份機制是其中一大弱項(截至文章發稿時,Asigra公司的產品已經解決了這個難題),此外Docker容器不具備加密工具——底層操作系統只能在磁盤層面發揮作用——而且各大安全企業也還沒有將注意力集中在為容器方案提供端點保護身上。
Docker還缺乏實時遷移工具,Fritsch表示,這使得虛擬機管理程序雖然能夠成為很好的Docker運行基礎、但在這方面仍然無法同Parallels的Virtuozzo比肩。
總體而言,Fritsch的基本觀點是Docker在安全功能方面還算不錯,而2015年當中大量第三方工具以及整合到Docker自身當中的功能提升方案將不斷涌現,從而在改進可管理性的同時、真正幫助這款年輕的軟件擁有滿足各類實際業務預期的能力。根據他的說法,這些將陸續亮相的方案將使Docker在操作便捷性方面不斷提升,屆時利用已知參數實現操作將成為最佳實踐,因此也就減少了企業客戶對于信息安全及治理專業人士的高度依賴性。
Fritsch并沒有提到Docker所面臨的安全漏洞,這使得這份文件更像是針對Docker產品的一份說明性報告。
京公網安備 11010502049343號