Docker公司宣布將重點(diǎn)關(guān)注容器安全
【編者的話】本文是對11.16歐洲D(zhuǎn)ockerCon大會的簡短報(bào)道。重點(diǎn)在Docker容器安全領(lǐng)域的新特性,對于在生產(chǎn)環(huán)境中更安全使用Docker有很大的參考價(jià)值。
Docker 公司在巴塞羅那舉辦的 DockerCon Europe 大會上宣布三款安全工具以及容器的一些新特性。
這些工具在不影響開發(fā)者正常工作流的情況下,使開發(fā)者使用容器更加安全。它們包括:使用Yubico硬件密鑰、支持用戶名稱空間,這樣Docker容器就不再需要root權(quán)限連接了。這兩個新特性可以在Docker實(shí)驗(yàn)版本頻道獲取。
Docker公司今天還宣布它們會定期掃描Docker Hub上的90多個官方倉庫,來檢查是否有潛在的漏洞,并且發(fā)布它們的掃描結(jié)果。
Docker創(chuàng)始人兼CTO Solomon Hykes在他的keynote中強(qiáng)調(diào)安全非常重要,但是人們往往在事后才注意到。“這些就像烘焙中需要在開始就備烘焙的食材”【譯者注:Solomon Hykes在這里以烤面包為例子,在開始就要先烤一些原料備用】。他指出:“你們需要在使用Docker初期就考慮好它的安全問題”。
作為Docker的產(chǎn)品總監(jiān),Scott Johnston在本周早些就告訴我,Docker團(tuán)隊(duì)的目標(biāo)是改善Docker平臺同時(shí)確保使用Docker的開發(fā)者們不會去做一些“讓他們平時(shí)的工作流不自然的事情”(Hykes稱之為“美好而舒適的開發(fā)流”)。例如,新的硬件簽名特性,它是基于最近推出的新的Docker Content Trust框架,這個框架允許容器的數(shù)字簽名。
現(xiàn)在,擁有同樣是今天推出的YubiKey 4的開發(fā)者可以簽名他們的容器,確保他們的Apps在Docker整個開發(fā)流程中完整一致。Docker與Yubico合作建立了觸摸即簽名的編碼簽名系統(tǒng)使得開發(fā)人員能夠快速進(jìn)入Docker命令行。
正如Johnston強(qiáng)調(diào)的那樣,可信任的內(nèi)容在鏡像層又增加了安全層,但是開發(fā)者并不需要使用這一層。
當(dāng)人們談到容器和安全時(shí),事實(shí)是Docker守護(hù)式進(jìn)程和容器需要root權(quán)限才能連接到宿主機(jī)上,而這長期以來一直被人們所詬病。Johnston也承認(rèn)這一點(diǎn),他指出早期使用Docker也有好處因?yàn)樗?ldquo;促進(jìn)市場的發(fā)展”。但是隨著容器日益流行安全問題也日益凸顯。
在新的實(shí)驗(yàn)版本中,管理員可以分離容器和Docker守護(hù)式進(jìn)程間的權(quán)限。Docker守護(hù)式進(jìn)程仍然需要root權(quán)限,容器不再需要。但是Docker公司指出,這一改進(jìn)使得運(yùn)行中的Docker容器更加安全,例如,現(xiàn)在部門和團(tuán)隊(duì)可以獲得連接控制容器的權(quán)限了。
在很多情況下,容器的安全開始于運(yùn)行在容器中的應(yīng)用。為了在此做些改進(jìn),今天Docker公司宣布將開始掃描官方Docker Hub倉庫中的容器是否存在潛在的漏洞(Heartbleed就是一個很好的例子)。
如果這些你聽起來很熟悉的話,是因?yàn)槟憧赡芰私獾紺oreOS最近對它的注冊表中的容器做很類似的事情。就像CoreOS公司一樣,Docker將會發(fā)布容器的安全報(bào)告,就像Johnston對我說的那樣,這將協(xié)同上游的生態(tài)系統(tǒng)以保證這些問題盡快得以修復(fù)。
90個注冊Docker Trust的官方倉庫,大約占Docker Hub上所有下載鏡像數(shù)量的20%。今天Hykes指出,經(jīng)團(tuán)隊(duì)測試后,實(shí)際上這項(xiàng)服務(wù)已經(jīng)在靜靜地保護(hù)著這些版本庫兩個月了。該項(xiàng)計(jì)劃目的是要在未來拓展這個工具到所有的鏡像,包括私有的鏡像。
