從Docker、Twistlock、CoreOS看容器安全的現狀

Docker將容器變成一種商用技術以后就面臨一個比較大的問題，就是如何確保容器安全。 具體一點講 ，安全在容器環境中包含什么內容，如何安全地訪問容器以及如何確保容器內部軟件不會帶來安全問題，等等。隨著容器技術成長為一個更加開放的生態系統（尤其在 安全方面 ），任何一種單獨的解決方案似乎都不可能解決所有這些問題。近日，InfoWorld資深作者Serdar Yegulalp 分析 了Docker、Twistlock、CoreOS等廠商的容器安全解決方案。

Docker一直在推動容器技術的發展，包括安全在內。在11月份舉行的DockerCon歐洲大會上，該公司宣布了多項重大安全改進，其中最大的一項是 支持用戶命名空間 。其他改進還包括允許 使用Yubico硬件密鑰進行容器簽名 ，以及掃描托管在Docker官方庫中的容器。

除了容器自身的安全外，在將容器部署到生產環境之前，用戶還會希望知道容器內的東西是否存在已知的安全問題。 Twistlock 的創建目的就是掃描容器，對照CVE數據庫檢查容器中的軟件。此外，它還會檢查容器環境，比如，如果容器不應該在第一時間連接網絡，那么它就會斷開網絡連接。

CoreOS一直支持容器，但它對Docker的做法持批評態度，尤其是在安全方面。為此，他們 創建了自己的、安全優先的容器格式和運行時 。前期，CoreOS 宣布 了類似Twistlock的漏洞掃描工具。最近，他們又宣布了一種端到端的安全解決方案“ 分布式可信計算（Distributed Trusted Computing） ”。該方案是其企業級產品 Tectonic 的一部分。同Docker的Yubikey一樣，它也使用了硬件密鑰確保容器不會被篡改。而且，它只會啟動用戶同意啟動的容器。此外，該方案的其中一名創建者是Matthew Garrett，他是CoreOS的首席安全工程師，同時也是一位著名的Linux開發人員，曾經創建了一種 在Windows 8系統上運行Linux 的方法。