AWS EC2容器服務是如何改善Docker安全性的?是否有應實施的額外安全措施以確保Docker的安全使用?

[[146383]]

Docker是基于管理程序的虛擬機的一個替代品，它可實現應用程序跨平臺的輕松遷移。它受到了廣大開發運營專業人士的青睞，因為它可幫助他們輕松地把在Mac OS X平臺上開發的應用程序移植到一個Linux生產服務器上。

但是，Docker的應用還有著一些安全性方面的問題。

AWS EC2容器服務是一個集群管理系統，它可簡化Docker鏡像在一組AWS實例上的使用。因為用戶的應用程序將在EC2實例上運行，所以他們將獲得對一般可用資源的所有安全控制。這是非常重要的，因為它確保了Docker當前版本的安全性有著明顯的局限性。

Docker過程具有訪問文件系統的根權限，而這有可能被用于危及在同一服務器上其他容器的正常運行。據相關報道，Docker的后續版本將在受限權限下運行。與此同時，AWS用戶可充分利用這些安全性功能以減少此類風險。

AWS的虛擬私有云計算(VPC)可在AWS云計算內隔離計算和網絡資源。云計算管理員們可以按實際需要創建多個虛擬私有云計算。在每一個云計算內，云計算管理員可以創建子網、定義IP地址以及配置路由器表和網關。管理員們可以在機器實例上設置額外的控制措施——例如安全組——以便于進一步限制對資源的訪問。

管理員們也可以在專用實例上運行Docker。這些實例在相關硬件的VPC內運行，而這些硬件則只能由一個客戶使用。請注意，對于這些專用實例是需要額外付費的。

其他的AWS安全控制措施還可被應用于運行Docker的實例。例如，可以使用安全組策略針對服務器流出流入流量控制規則。此外，還可將身份與訪問管理角色分配給實例;這將允許實例來承擔分配給角色的權限。同事，當使用角色時，就不必通過編程的方式把AWS訪問密鑰發送給實例;這將有助于減少暴露訪問密鑰的風險。

AWS EC2容器服務將有助于減少企業在AWS云計算中運行大量Docker實例的管理開銷，但是這不會降低實例、子網以及虛擬私有云對正確配置和安全性的要求。