Docker安全性引質(zhì)疑 怎么破?
以前IT程序員們認(rèn)為重復(fù)利用代碼和遷移應(yīng)用程序是無法實(shí)現(xiàn)的夢(mèng)想,但Docker技術(shù)打破了這一枷鎖,允許應(yīng)用程序包裝在容器中并自由運(yùn)行在云中。Docker毫無疑問成為2014年最吸引人眼球,并被標(biāo)榜為最有前途的一項(xiàng)新技術(shù)。
但是最近有關(guān)Docker安全性的問題日囂塵上。
確保Docker環(huán)境安全
Docker的勢(shì)頭在過去的12個(gè)月里十分火熱,很多人表示很少見如此能夠吸引行業(yè)興趣的新興技術(shù)。然而,當(dāng)興奮轉(zhuǎn)化為實(shí)際部署時(shí),企業(yè)需要注意Docker的安全性。
Gartner安全和風(fēng)險(xiǎn)管理研究主管Joerg Fritsch表示“Docker本身的安全性不是那么糟糕,問題在于其缺乏安全管理”。
了解Docker的人都知道,Docker利用容器將資源進(jìn)行有效隔離。因此容器相當(dāng)于與Linux OS和hypervisor有著幾乎相同的安全運(yùn)行管理和配置管理級(jí)別。但當(dāng)涉及到安全運(yùn)營(yíng)與管理,以及具有保密性、完整性和可用性的通用控件的支持時(shí),Docker可能會(huì)讓你失望。
當(dāng)容器運(yùn)行在本地系統(tǒng)上時(shí),企業(yè)可以通過其安全規(guī)則確保安全性。但一旦容器運(yùn)行在云端,事實(shí)就不會(huì)如此簡(jiǎn)單了。
當(dāng)Docker運(yùn)行在云提供商平臺(tái)上時(shí),安全性變得更加復(fù)雜。你需要知道云提供商正在做什么,或許你正在于別人共享一臺(tái)機(jī)器。
雖然容器沒有內(nèi)置的安全因素,而且像Docker這樣的新興技術(shù)很難有比較全面的安全措施,但這并不意味著以后也不會(huì)出現(xiàn)。
一些廠商已經(jīng)開始在這方面行動(dòng)了,例如Waratek推出了一個(gè)叫做“Locker”的程序,可以用來監(jiān)控Java應(yīng)用程序和Java引擎之間的活動(dòng),當(dāng)發(fā)現(xiàn)問題時(shí)及時(shí)關(guān)閉受感染的應(yīng)用程序。因?yàn)閹缀跻话氲腄ocker容器運(yùn)行Java工作負(fù)載,因此Locker可能成為用于確保容器內(nèi)應(yīng)用程序安全性的重要工具。
確保容器部署安全性
也有專家將Docker安全問題的實(shí)質(zhì)定位于配置安全,認(rèn)為Docker目前的問題是很難配置一個(gè)安全的容器。雖然現(xiàn)在Docker的開發(fā)人員通過創(chuàng)建非常小的容器來降低攻擊面,但問題在于大型企業(yè)內(nèi)部在生產(chǎn)環(huán)境中運(yùn)行Docker容器的員工需要有更多的可見性和可控性。
專家認(rèn)為,大約90%的外部網(wǎng)絡(luò)攻擊并不是超級(jí)復(fù)雜的,攻擊者多是利用了管理員的行為漏洞,比如配置錯(cuò)誤或者未及時(shí)安裝補(bǔ)丁。
因此,企業(yè)在部署數(shù)千或數(shù)萬臺(tái)容器時(shí),能夠確保這些容器都遵守企業(yè)安全策略進(jìn)行配置是至關(guān)重要的事情。
為解決這個(gè)問題,就需要增加Docker容器部署的實(shí)時(shí)可見性,同時(shí)實(shí)施企業(yè)制定的安全策略。也有一些廠商為此推出解決方案,比如CloudPassage新的云安全產(chǎn)品涵蓋了容器,給運(yùn)營(yíng)商提供了實(shí)時(shí)可見性并幫助他們執(zhí)行容器級(jí)別的虛擬基礎(chǔ)設(shè)施的安全策略。
