Docker增強容器技術的安全性
2015年11月16~17日,在巴塞羅那舉行的 歐洲 DockerCon 上,Docker 宣布了一系列新的 安全增強 。這些增強功能包括容器鏡像的硬件簽名、鏡像內容掃描和漏洞檢測、用戶細粒度的訪問控制策略等。
三個月之前,當 Docker 發布1.8版本時,順帶介紹了 Docker Content Trust 功能。在這次歐洲 DockerCon 期間,Docker 宣布通過使用 YubiKey 在其 Docker Content Trust 框架上實現了硬件簽名機制。Docker 與 Yubico 公司聯合開發了一款可觸摸硬件,來確保對容器鏡像進行簽名時的交互驗證。這樣一來,Docker 開發者、系統管理員以及第三方 ISV 能夠在產品開發初期和后續更新階段對其進行數字簽名。
此外,Docker 還在此次的歐洲 DockerCon 上宣布了容器用戶命名空間的可用性,允許容器和 Docker 守護進程之間擁有不同的權限。這意味著容器本身沒有訪問其宿主機的權限,但是 Docker 守護進程是可以的。
Docker 總結道,IT 運維團隊現在可能已經實現了對每個 Dockerized 服務更細粒度的訪問控制。Docker 在一份媒體備忘錄中解釋說,新特性的另一個結果是能夠有效地阻止一個團體控制另外一個團體的應用服務權限。
第三個主要的安全公告是 Docker 鏡像掃描和漏洞檢測。現在,Docker 公司已經完成了所有的官方發行版掃描并簽名,企業可以把這些結果提供給 ISV 和 Docker 用戶。因此,ISV 可以修復任何容器缺陷以提升其安全配置,Docker 用戶也能夠創建一個完整的鏡像內容。Docker 在不同的安全活動中都反復強調有一個鏡像庫智囊團是多么的重要。
Docker 鏡像簽名和用戶命名空間是將在 Docker 實驗性 和 Notary 0.1 中啟用的新特性,而鏡像掃描和漏洞檢測功能已經包含在 Docker Hub 所有的 官方發行版 中。
Docker 安全主管 Nathan McCauley 在題為 《理解 Docker 安全》 的演講中深入分析了 Docker 安全的四條主線:控制策略、源頭、身份驗證和漏洞。
在周一的歐洲 DockerCon 開幕式上,Docker 為每一位參會者提供了一個 Yubikey。此外,Docker 在其官方博客上發表了一篇怎么使用 Docker Content Trust 框架 為 Docker 鏡像簽名 的簡單教程。