Docker 增強 Container 安全性
【編者的話】Docker 公司公布了他們最近新退出的安全掃描技術,此技術用于改善docker容器安全性并且已經在Docker Cloud上上線。通過安全掃描技術可以大大改善目前docker容器在安全上的不足。
本周 Docker 宣布他們推出了新的安全掃描技術,此技術用于在整個軟件供應鏈中保障容器內容。
Docker 安全掃描是 Docker 云私有倉庫計劃的一個可選服務。它提供對容器鏡像內的軟件安全性評估。
Docker宣稱,在整個軟件供應鏈過程中會啟用詳細的鏡像安全配置文件,進行持續漏洞監測并對集成的安全內容進行通知。并且會為每個 Docker 鏡像提供二進制級別掃描生成的詳細安全配置文件。
這項服務提供的細節使得IT運營人員可以評估軟件是否符合安全合規標準。 與現有的開發工作和IT工作流程無縫集成,每當有變更分發時就會觸發掃描,在部署前增加一個檢查點,該公司表示。
Docker的安全主管 Nathan McCauley說:“掃描過程會創建一個類似湯罐內容標簽的鏡像簽名”。
它能做什么
Docker 公司說,Docker 安全掃描可以涵蓋任何應用程序和所有主流Linux發行版。 它提供了集成到容器即服務的工作流,通過集中IT管理的安全內容提升企業的安全態勢。
作為安全增強的一部分,該公司還發布了Docker Bench的一個更新。該版本自動按照CIS基準建議驗證主機的配置。通過更新,Docker用戶可以采用最新的CIS Docker基準建議,以確保他們的平臺配置與Docker引擎1.11版本的最佳實踐是一致的,McCauley告訴LinuxInsider說。
此安全流程回答了有關計算機安全的幾個關鍵問題。 它告訴用戶Docker容器的內容。 它可以讓用戶知道代碼來源,如何避免壞的部分以及如何基于合規和管理保持當前補丁到最新。
McCauley說“伴隨著這個過程,開發人員成為安全過程的一部分。開發人員在他們部署軟件之前就可以看到掃描過程的結果”。“我們做它的目的就是保護從開發,測試到生產的整個軟件供應鏈。”
工作方式
Docker鏡像掃描和漏洞檢測提供顆粒層次審計鏡像的容器優化的能力。根據掃描的結果,會對每個鏡像提供一份包含鏡像層和組成的細節清單,并且附帶每個組成的安全描述。
這使得獨立軟件供應商,發布商和應用團隊可以根據他們的安全策略進行正確的決策。 ISVs可以利用這些信息來積極修復漏洞,以保證其內容的高品質安全級別,并透明地部署到他們的最終用戶。應用程序團隊基于所顯示的配置文件,可以決定是否要使用ISV提供的鏡像并在決定部署前可以靈活的使用安全掃描檢查額外的代碼。
如果沒有可選的增強安全性,IT從業者要依賴于各ISV對其提供內容的常見漏洞狀態發布信息,披露的數據庫并且手動跟蹤他們的任何問題。 Docker安全掃描將自動化這個過程,當鏡像中的任何內容報告發現漏洞時都會自動通知企業。
特權性能
Rackspace公司 的架構師Adrian Otto說,即將推出的Docker Engine將使用multidaemon方法分離特權,使得它比以前版本中使的single-daemon設計更加安全。這也是Docker如何持續改善安全態勢的一個例子。
他還告訴LinuxInside:“我們相信類似的增強會繼續下去,因為開發是由用戶和開發人員組成的社區推動的,由于威脅和復雜的競爭對手日趨活躍,他們越來越關注應用安全”。
不管是否使用容器技術,安全性都是所有支持云的應用程序需要關注的。對漏洞進行持續掃描肯定是安全的最佳實踐。理想情況下,安全掃描應該包含在容器宿主機系統中,以保持應用程序的安全,奧托說。
安全跨越
Sungard Availability Services公司 的首席安全體系技術官Scott Moore 說,對于安全問題,雖然Docker的技術還有很大的成長空間,但是現在正在大步朝前。
Docker engine 1.10版本重點幾乎全是安全。1.11版本是第一個內置runC以及Containerd 并且符合開放目錄接口標準的版本。
Docker云是一個容器即服務的解決方案,允許客戶可以從任何云供應商加入自己的節點。客戶創建和運行節點,所以Docker不負責主機的安全性。Docker云會從節點提取信息,并將其存放在Docker云中,并且它對于從節點收集的元數據沒有認證機制。
Scott Moore還說,“如果用于授權的Docker ID泄露,有人能夠獲得Docker云管理的任何節點的容器訪問。此時,Docker Cloud 沒有細致的,基于權限的訪問控制或者API密鑰管理”。
多少才夠?
黑鴨軟件 工程副總裁Randy Kilmon說,有必要采取進一步措施,確保主機系統和容器自身內容的完整性。 他公司的大部分客戶使用不同的部署機制來制定自己的解決方案。
他還告訴LinuxInside說,“到目前為止,Docker沒花時間處理容器安全,這意味著如果正在運行的容器存在弱點,它仍然可以在容器層次利用”。
Twistlock首席戰略官王晨曦說,安全是一個很難的事情。組織通常設計不符合標準的用例。
她還說,“因此,在平臺外總有附加安全模塊空間。”
容器化容器
Kilmon說:Docker Cloud是在云中運行容器的解決方案。即使Docker Cloud 是安全的,但這并不意味著你在之上為你的云解決方案運行的容器是安全的。
他補充說,“這是兩個不同的東西。如果你不掃描自己的容器,在容器層次你可能被攻擊”。
Kilmon說,Docker Cloud只是作為其組成部分是安全的。云安全在很大程度上取決于如何使用它。
例如,如果你提供一個Amazon Web Services實例或一個節點來運行容器,并且這是不安全的,那么這將是整個鏈條中的一個薄弱環節。
Kilmon說,“Docker Cloud無非是托管Docker基礎設施的,像Docker registry,Docker engine等等,托管的基礎設施是安全的,但你在基礎設施上運行的Docker容器仍然可能是不安全的”。
容器還是服務?
CloudPassage 的首席技術專家 Sami Laine指出,增強安全性的附加工具是一個巨大需求。大多數企業在管理復雜的環境,包括傳統的裸金屬服務器,虛擬化,私有云和公共云上運行的工作負載,以及可能部署在所有這些環境的容器。
他還告訴LinuxInsider,“擁有綜合性工具能夠對IT交付的場景提供可視化和合規控制, 包括檢查容器引擎和鏡像的能力,這只會變得更加重要,而不是無關緊要。”
據 Bromium 的CTO Simon Crosby說 ,一個問題Docker容器可以攻擊它的宿主機或其他容器。Docker之間的隔離是好的,但它并沒虛擬機那么好,在CPU級別強制隔離。
他還LinuxInsider說,“基本上,Docker已經遠遠超過傳統漏洞百出的企業級服務應用和基礎設施”。
產品供貨
Docker安全掃描可用于Docker Cloud用戶的私有倉庫計劃。在第三季度末,范圍將擴大到所有的Docker Cloud倉庫用戶。
最初的免費試用期結束后,作為私有倉庫計劃的一個附加服務,定價為2$每倉庫。在2016年下半年,Docker安全掃描也將做為Docker數據中心集成的功能可用。
原文鏈接: Docker Ramps Up Container Security (翻譯:朱高校)
===========================================
譯者介紹
朱高校,H3C公司,目前從事OpenStack 、Docker相關研究工作。