Docker公司宣布將重點(diǎn)關(guān)注容器安全

責(zé)任編輯:editor005

作者:adolphlwq譯

2015-11-19 14:13:50

摘自:dockone

Docker 公司在巴塞羅那舉辦的 DockerCon Europe 大會(huì)上宣布三款安全工具以及容器的一些新特性。Docker公司今天還宣布它們會(huì)定期掃描Docker Hub上的90多個(gè)官方倉(cāng)庫(kù),來(lái)檢查是否有潛在的漏洞,并且發(fā)布它們的掃描結(jié)果。

【編者的話(huà)】本文是對(duì)11.16歐洲D(zhuǎn)ockerCon大會(huì)的簡(jiǎn)短報(bào)道。重點(diǎn)在Docker容器安全領(lǐng)域的新特性,對(duì)于在生產(chǎn)環(huán)境中更安全使用Docker有很大的參考價(jià)值。

Docker 公司在巴塞羅那舉辦的 DockerCon Europe 大會(huì)上宣布三款安全工具以及容器的一些新特性。

yk4-yk4nano-docker.jpg

這些工具在不影響開(kāi)發(fā)者正常工作流的情況下,使開(kāi)發(fā)者使用容器更加安全。它們包括:使用Yubico硬件密鑰、支持用戶(hù)名稱(chēng)空間,這樣Docker容器就不再需要root權(quán)限連接了。這兩個(gè)新特性可以在Docker實(shí)驗(yàn)版本頻道獲取。

Docker公司今天還宣布它們會(huì)定期掃描Docker Hub上的90多個(gè)官方倉(cāng)庫(kù),來(lái)檢查是否有潛在的漏洞,并且發(fā)布它們的掃描結(jié)果。

Docker創(chuàng)始人兼CTO Solomon Hykes在他的keynote中強(qiáng)調(diào)安全非常重要,但是人們往往在事后才注意到。“這些就像烘焙中需要在開(kāi)始就備烘焙的食材”【譯者注:Solomon Hykes在這里以烤面包為例子,在開(kāi)始就要先烤一些原料備用】。他指出:“你們需要在使用Docker初期就考慮好它的安全問(wèn)題”。

dsc03993.jpg

作為Docker的產(chǎn)品總監(jiān),Scott Johnston在本周早些就告訴我,Docker團(tuán)隊(duì)的目標(biāo)是改善Docker平臺(tái)同時(shí)確保使用Docker的開(kāi)發(fā)者們不會(huì)去做一些“讓他們平時(shí)的工作流不自然的事情”(Hykes稱(chēng)之為“美好而舒適的開(kāi)發(fā)流”)。例如,新的硬件簽名特性,它是基于最近推出的新的Docker Content Trust框架,這個(gè)框架允許容器的數(shù)字簽名。

現(xiàn)在,擁有同樣是今天推出的YubiKey 4的開(kāi)發(fā)者可以簽名他們的容器,確保他們的Apps在Docker整個(gè)開(kāi)發(fā)流程中完整一致。Docker與Yubico合作建立了觸摸即簽名的編碼簽名系統(tǒng)使得開(kāi)發(fā)人員能夠快速進(jìn)入Docker命令行。

docker_yubico.jpg

正如Johnston強(qiáng)調(diào)的那樣,可信任的內(nèi)容在鏡像層又增加了安全層,但是開(kāi)發(fā)者并不需要使用這一層。

當(dāng)人們談到容器和安全時(shí),事實(shí)是Docker守護(hù)式進(jìn)程和容器需要root權(quán)限才能連接到宿主機(jī)上,而這長(zhǎng)期以來(lái)一直被人們所詬病。Johnston也承認(rèn)這一點(diǎn),他指出早期使用Docker也有好處因?yàn)樗?ldquo;促進(jìn)市場(chǎng)的發(fā)展”。但是隨著容器日益流行安全問(wèn)題也日益凸顯。

在新的實(shí)驗(yàn)版本中,管理員可以分離容器和Docker守護(hù)式進(jìn)程間的權(quán)限。Docker守護(hù)式進(jìn)程仍然需要root權(quán)限,容器不再需要。但是Docker公司指出,這一改進(jìn)使得運(yùn)行中的Docker容器更加安全,例如,現(xiàn)在部門(mén)和團(tuán)隊(duì)可以獲得連接控制容器的權(quán)限了。

docker_security_2.jpg

在很多情況下,容器的安全開(kāi)始于運(yùn)行在容器中的應(yīng)用。為了在此做些改進(jìn),今天Docker公司宣布將開(kāi)始掃描官方Docker Hub倉(cāng)庫(kù)中的容器是否存在潛在的漏洞(Heartbleed就是一個(gè)很好的例子)。

如果這些你聽(tīng)起來(lái)很熟悉的話(huà),是因?yàn)槟憧赡芰私獾紺oreOS最近對(duì)它的注冊(cè)表中的容器做很類(lèi)似的事情。就像CoreOS公司一樣,Docker將會(huì)發(fā)布容器的安全報(bào)告,就像Johnston對(duì)我說(shuō)的那樣,這將協(xié)同上游的生態(tài)系統(tǒng)以保證這些問(wèn)題盡快得以修復(fù)。

90個(gè)注冊(cè)Docker Trust的官方倉(cāng)庫(kù),大約占Docker Hub上所有下載鏡像數(shù)量的20%。今天Hykes指出,經(jīng)團(tuán)隊(duì)測(cè)試后,實(shí)際上這項(xiàng)服務(wù)已經(jīng)在靜靜地保護(hù)著這些版本庫(kù)兩個(gè)月了。該項(xiàng)計(jì)劃目的是要在未來(lái)拓展這個(gè)工具到所有的鏡像,包括私有的鏡像。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)