Docker平台提供哪四种原生安全技术
Docker平台提供以下四种原生安全技术:
Docker Swarm模式:默认是开启安全功能的。无须任何配置,就可以获得加密节点ID、双向认证、自动化CA配置、自动证书更新、加密集群存储、加密网络等安全功能。
Docker内容信任(Docker Content Trust, DCT):允许用户对镜像签名,并且对拉取的镜像的完整度和发布者进行验证。
Docker安全扫描(Docker Security Scanning):分析Docker镜像,检查已知缺陷,并提供对应的详细报告。
Docker密钥:使安全成为Docker生态系统中重要的一环。Docker密钥存储在加密集群存储中,在容器传输过程中实时解密,使用时保存在内存文件系统,并运行了一个最小权限模型。
加强Docker容器安全的方法有:
Docker自身安全性改进:在过去容器里的root用户就是主机上的root用户,如果容器受到攻击,或者容器本身含有恶意程序,在容器内就可以直接获取到主机root权限。Docker从1.10版本开始,使用UserNamespace做用户隔离,实现了容器中的root用户映射到主机上的非root用户,从而大大减轻了容器被突破的风险,因此建议尽可能使用最新版Docker。
保障镜像安全:为保障镜像安全,我们可以在私有镜像仓库安装镜像安全扫描组件,对上传的镜像进行检查,通过与CVE数据库对比,一旦发现有漏洞的镜像及时通知用户或阻止非安全镜像继续构建和分发。同时为了确保我们使用的镜像足够安全,在拉取镜像时,要确保只从受信任的镜像仓库拉取,并且与镜像仓库通信一定要使用HTTPS协议。
加强内核安全和管理:宿主机内核尽量安装最新补丁;使用Capabilities划分权限,它实现了系统更细粒度的访问控制;启动容器时一般不建议开启特权模式,如需添加相应的权限可以使用–cap-add参数。
使用安全加固组件:Linux的SELinux、AppArmor、GRSecurity组件都是Docker官方推荐的安全加固组件,这三个组件可以限制一个容器对主机的内核或其他资源的访问控制,目前容器报告里的一些安全漏洞。
资源限制:在生产环境中,建议每个容器都添加相应的资源限制,这样即便应用程序有漏洞,也不会导致主机的资源被耗尽,最大限度降低了安全风险。
使用安全容器:容器有着轻便快速启动的优点,虚拟机有着安全隔离的优点,有没有一种技术可以兼顾两者的优点,做到既轻量又安全呢?答案是有的,那就是安全容器。安全容器与普通容器的主要区别在于,安全容器中的每个容器都运行在一个单独的微型虚拟机中,拥有独立的操作系统和内核,并且有虚拟机般的安全隔离性。