@南馆潇湘
2年前 提问
1个回答

容器安全问题可以从哪些方面解决

delay
2年前

容器安全问题可以从以下方面解决:

  • Docker自身安全性改进:在过去容器里的root用户就是主机上的root用户,如果容器受到攻击,或者容器本身含有恶意程序,在容器内就可以直接获取到主机root权限。Docker从1.10版本开始,使用UserNamespace做用户隔离,实现了容器中的root用户映射到主机上的非root用户,从而大大减轻了容器被突破的风险,因此建议尽可能使用最新版Docker。

  • 保障镜像安全:为保障镜像安全,我们可以在私有镜像仓库安装镜像安全扫描组件,对上传的镜像进行检查,通过与CVE数据库对比,一旦发现有漏洞的镜像及时通知用户或阻止非安全镜像继续构建和分发。同时为了确保我们使用的镜像足够安全,在拉取镜像时,要确保只从受信任的镜像仓库拉取,并且与镜像仓库通信一定要使用HTTPS协议。

  • 加强内核安全和管理:宿主机内核尽量安装最新补丁;使用Capabilities划分权限,它实现了系统更细粒度的访问控制;启动容器时一般不建议开启特权模式,如需添加相应的权限可以使用–cap-add参数。

  • 使用安全加固组件:Linux的SELinux、AppArmor、GRSecurity组件都是Docker官方推荐的安全加固组件,这三个组件可以限制一个容器对主机的内核或其他资源的访问控制,目前容器报告里的一些安全漏洞。

  • 资源限制:在生产环境中,建议每个容器都添加相应的资源限制,这样即便应用程序有漏洞,也不会导致主机的资源被耗尽,最大限度降低了安全风险。

  • 使用安全容器:容器有着轻便快速启动的优点,虚拟机有着安全隔离的优点,有没有一种技术可以兼顾两者的优点,做到既轻量又安全呢?答案是有的,那就是安全容器。安全容器与普通容器的主要区别在于,安全容器中的每个容器都运行在一个单独的微型虚拟机中,拥有独立的操作系统和内核,并且有虚拟机般的安全隔离性。