容器技術(尤其是Docker)正繼續以其自有的方式在企業中發展著。它們與其他任何技術一樣，IT專業人士們的任務就是為確保Docker容器的安全性而制定出一份策略。

關于Docker安全性問題，這里需要指出幾點。首先，在Docker中運行容器和應用程序意味著要運行Docker守護進程，這需要root權限。但是，這也意味著用戶為這些進程提供了進入的鑰匙——這正是容器如何向IT安全專業人士發出警告的一個例子。

其他的問題包括容器的靈活性，這可讓它較容易地執行容器的多個實例。這些容器中有很多都具有著不同的安全補丁等級。此外，雖然經常被與虛擬化進行比較，但是Docker并不擅長隔離;容器基本上都是分離的。對容器技術不熟悉的IT專業人士們并不總是能夠對容器的開發和生產有著良好的理解。這樣一來，那些管理和確保容器化應用程序安全性的員工們就需要快速地學會這些新技能。

容器的安全模式類似于其他分布式系統的安全模式，但是最好的實踐和工具都是較新的。例如加密、身份管理以及基于角色的安全措施都能夠實現與容器技術的良好協作，但是還是有一些在確保容器安全性中發揮重要作用的新工具和新系統。

確保Docker容器安全性的工具與最佳實踐

Docker推出的一個名為Docker Content Trust(DCT)的新功能，它可幫助IT專業人士確保Docker的安全性。DCT使用了一個公共密鑰基礎設施(PKI)的方法，它提供了兩個不同的密鑰：一個離線(root)密鑰和一個標記(每次入庫)密鑰，當第一次發布者推出鏡像時它可創建和存儲客戶端。

此舉有助于彌補正在使用惡意容器這一最大的漏洞。DCT還生成了一個時間戳密鑰，它可保護系統免受重放攻擊，即運行過期的標記內容。這解決了上面提及容器具有不同安全補丁等級的問題。

為了解決針對容器安全性的問題，包括Docker在內的眾多公司都為Docker發布了安全基準。這套標準為確保Docker容器的安全性提供了指導。全篇118頁的文檔囊括了部署Docker容器的84個最佳實踐以及一個涉及所有內容的檢查清單。

那么，如果你決定自行負責確保Docker容器的安全性，但又不知道從何入手，我們在這里為你提供了一些建議：

閱讀上面提及的Docker安全基準文件。重點關注與如何部署基于容器的應用程序相關的建議和最佳實踐。這真的是有助于緩解你的財務壓力，認真考慮大部分因糟糕設計而導致的Docker安全性問題。

考慮你的特定安全性需求。這將促使你選擇正確的工具和方法。很多使用容器技術的企業對于他們基于容器的應用程序要么安全措施不足，要么安全措施過足。

盡可能多地進行測試。容器技術是新技術，因此我們需要搞清楚哪些是能夠發揮作用，哪些是無用的，而要做到這一點的唯一方法就是進行安全性方面的測試，例如滲透測試。

容器安全性的發展趨勢可能會與虛擬化安全性一樣。雖然安全性從第一臺虛擬機部署開始就是一個問題，但是多年以來積累下來的良好安全性實踐、架構和工具都證明了其有效性。我們相信，Docker容器安全性的問題也同樣能夠得到較好解決。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_91415.htm