阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

Docker的安全基准

165次阅读
没有评论

共计 1972 个字符,预计需要花费 5 分钟才能阅读完成。

Docker 公司与 Center for Internet Security(CIS)合作,制作了一份基准文档 [pdf],包含很多针对部署 Docker 的安全性的建议。Diogo Mónica 在一篇博客“理解 Docker 的安全性和最佳实践”中公布了该基准,她和 Nathan McCauley 一起最近受雇来领导 Docker 的安全团队。该团队也发布了“容器安全性入门”[pdf] 白皮书。

Docker 的安全基准

基准文档涵盖了运行 Docker 的宿主(系统)的配置、Docker 本身的配置,以及在 Docker 管理下运行的容器的配置。该基准针对 Docker 1.6.0,(这是)本文写作时的最新版本,并且基于(使用)红帽企业 Linux(RHEL)第 7 版或 Debian 第 8 版作为宿主操作系统(OS)。基准的附录中有包含每项建议的检查清单。

建 议分为两个级别,第一级涉及的措施“实用而谨慎,提供明确的安全方面的好处,而又不妨碍运用的技术超出可接受的范围。”第二级的建议更加具有侵入性,被描 述为“针对把安全性视为头等大事的环境或情况,作为深入全面的防御措施,或者会消极地抑制技术的运用或性能。”第一级的建议适用于宿主操作系统和 Docker,而第二级的 3 项关于强制访问控制(mandatory access control,MAC)和端点保护平台(endpoint protection platform,EPP)的建议,只适用于 Docker。

很多建议在其审核一节有脚本片段,可以用来判断配置是否 处于所需的状态,这表明,大部分基准可以组织成脚本,用来检查(及重新配置)宿主是否符合基准。补救措施在适当的情况下也用脚本片段描述,但是这些脚本不太有用,因为在大多数情况下,必须编辑启动配置。鉴于所有主要的 Linux 发行版本现在都切换到 systemd 作为其默认的启动系统,CIS 可能会选择显 示与此相应的配置步骤,但这也有可能会造成许多仍在旧发行版本上运行 Docker 的用户的困惑。

尽管有些建议是相当通用的,比如“不要在生 产环境使用开发工具”,大多数建议还是很具体和可操作的,比如“不要使用 aufs”。因此该基准可以用来剖析某一 Docker 环境,决定可以采取以提高其安全性的实际步骤。当由于底层宿主操作系统的不同而存在多种选择时,就会给出由 Docker 核心团队和其他人撰写的很多外部指导性文档。

一些可能以前被认为是容器的最佳实践,比如,“一个容器只包含一个进程”,以及,“不要在容器内运行 SSH”,在基准中作为安全性的建议。把这认为是安全性的问题,将有可能进一步削弱把容器作为小型虚拟机的使用模式。

基准中有一些特别之处希望能在将来的版本中解决。其中之一是在 Docker 将来的版本中对用户命名空间的支持,表明这有可能出现在 1.6 版本中(即使该基准就是关于 1.6 版本的)。这也许说明用户命名空间的整合的确要比预想的更成问题。基准还建议使用 nsenter,尽管其使用已经在很大程度上被 Docker 1.3 引入的‘exec’命令所取代。

伴随基准推出的白皮书表明,Docker 公司正努力把容器定位为改进安全性的方法,但就象任何新技术一样,公司面临艰难的时刻说服对安全性有顾虑的客户,在生产环境运行是安全的。CIS 基准的发布为那些想在生产环境运行 Docker 的(用户)提供了可测量的手段来评估其安全状况,这很可能有助于缓解任何顾虑。对于拥抱 Docker 来打包应用程序、加速持续交付管道、以及促进微服务架构的开发者,这应当使(部署)到生产环境中的最后步骤在一定程度上更加容易。

Docker 安装应用(CentOS 6.5_x64) http://www.linuxidc.com/Linux/2014-07/104595.htm 

在 Docker 中使用 MySQL http://www.linuxidc.com/Linux/2014-01/95354.htm

在 Ubuntu Trusty 14.04 (LTS) (64-bit)安装 Docker http://www.linuxidc.com/Linux/2014-10/108184.htm 

Docker 安装应用(CentOS 6.5_x64) http://www.linuxidc.com/Linux/2014-07/104595.htm 

Ubuntu 14.04 安装 Docker  http://www.linuxidc.com/linux/2014-08/105656.htm 

阿里云 CentOS 6.5 模板上安装 Docker http://www.linuxidc.com/Linux/2014-11/109107.htm 

Docker 的详细介绍:请点这里
Docker 的下载地址:请点这里

本文永久更新链接地址:http://www.linuxidc.com/Linux/2015-06/118788.htm

正文完
星哥说事-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-20发表,共计1972字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中