Docker發(fā)布了其開源和商用容器平臺的更新版本,加入了新的安全特性以幫助保護特權(quán)訪問信息。
Docker正在推進其開源容器引擎,以及可支持商用的 Docker Datacenter 平臺,使其功能更強,對容器中秘密防護更有力。
容器應(yīng)用環(huán)境中,秘密,指的是需要保護的訪問令牌、口令和其他特權(quán)訪問信息。Docker 1.13 版容器引擎于1月19日登臺亮相,主推在2月8日發(fā)布的 Docker 1.13.1 更新中進一步被夯實的新秘密管理功能。
另外,Docker還將該秘密管理功能引入到2月9日發(fā)布的基于 Docker 1.13.1 的 Docker Datacenter 新更新上。 Docker Datacenter 是Docker公司的旗艦商業(yè)平臺,于2016年2月首次發(fā)布。
Docker安全總監(jiān)內(nèi)森·麥考利稱:“作為平臺提供商,我們想要確保自己在幫助人們保護應(yīng)用及其所用秘密的安全上表現(xiàn)良好。”
從部署的角度看,Docker引擎集群(swarm)中,只有簽名應(yīng)用才可以訪問秘密。麥考利強調(diào):同一基礎(chǔ)設(shè)施上運行的應(yīng)用不應(yīng)該知道相互的秘密,他們應(yīng)該只知道自身被授權(quán)訪問的那些秘密。
開源 Docker 1.13.1 更新中的秘密管理功能,與 Docker Datacenter 提供功能里最主要的區(qū)別,在于額外的訪問控制。Docker swarm 在應(yīng)用運行于集群上時對秘密的訪問設(shè)置了訪問控制。
Docker Datacenter 添加的,是為與系統(tǒng)互動的人類開發(fā)者和管理員準(zhǔn)備的訪問控制。于是,你可以將秘密分發(fā)給團隊,該團隊就能分發(fā)秘密給他們自己的應(yīng)用了。
Docker Datacenter 更新中基于角色的訪問控制(RBAC),還可與現(xiàn)有的企業(yè)身份識別系統(tǒng)集成,包括微軟的活動目錄。
簡單的秘密存儲顯然不足以保證這些秘密信息的安全,因為其被某個應(yīng)用泄露的潛在風(fēng)險總是存在的。
“當(dāng)秘密沒有實際存儲在應(yīng)用本身的時候,應(yīng)用才是更安全的。”麥考利解釋道。
為此,Docker加密了swarm中秘密存放地的后端存儲,所有到容器應(yīng)用的秘密傳輸都發(fā)生在安全TLS隧道中。秘密只在內(nèi)存中對應(yīng)用可用,且不會再存儲到單個應(yīng)用容器的存儲段。
為應(yīng)用設(shè)置秘密管理功能的想法不算新鮮。開源Vault項目就是提供秘密管理的又一例子,2月2號發(fā)布的Aqua容器安全平臺 2.0 更新中也有集成。
“Vault實現(xiàn)了一個好系統(tǒng),但沒有默認(rèn)集成到容器管理平臺。”麥考利說道,“Docker的理念在于,你需要一個深度集成的秘密管理功能,來銜接開發(fā)者和運營工作流。”