Docker安全基準:22項新增要點概述
譯文互聯網安全中心發布Docker安全基準第二版,其中添加Docker 1.11.0版本相關內容。
安全性目前及可預見的未來始終是阻礙容器廣泛普及的困擾所在,技術行業對于容器與虛擬機間安全性差異的爭論之聲亦是此起彼伏。
事實上,容器生態支持者們表示目前已經有大量工具及產品可對其平臺安全性做出改善,具體包括靜態分析(鏡像掃描)、運行時漏洞檢測、出處溯源(鏡像簽名)、細粒度授權以及密碼驗證等等。
亦有大量初創企業開始以容器安全功能作為業務基礎。目前相關變化正在快速推進,而且可以肯定的是,開源社區及各供應商在過去一年中立足于多種層面——包括操作系統、容器運行時、容器鏡像、主機到集群編排工具、PaaS乃至CaaS——為容器的安全性提升做出了卓越而顯著的貢獻。
互聯網安全中心(簡稱CIS)正是其中之一。CIS致力于提升網絡安全水平,同時幫助公共與私營部門之間實現快速響應。CIS制定的安全基準旨在提供一套經過嚴格定義、公正且協商一致的行業***實踐方案,幫助企業對自身安全性做出評估及改進。在合作社區的不懈努力下,***套CIS Docker基準已經于去年4月面向Docker 1.6正式發布。而就在本月13號,添加Docker 1.11.0版本相關內容的全新基準版本亦新鮮出爐。
CIS Docker基準針對Docker容器基礎設施安全配置做出說明性指導(以規則形式)。新的基準版本中添加了22條新規則,同時取消了原本的23條規則,目前總規則數量為83條。
隨著Docker在過去一年中的快速發展,部分規則經過對應更新或者被直接取消,旨在保證新版本中的各條規則切實符合Docker現狀。在1.11.0版本中,Docker將容器監控與運行時加以拆分,并由containerd與runc兩個守護進程負責管理。
此次基準將Docker安全問題分為以下幾類(括號中為各分類的相關規則數量):
· 主機配置 (15)
· Docker守護進程配置(13)
· Docker守護進程配置文件 (20)
· 容器鏡像與Build文件 (5)
· 容器運行時 (25)
· Docker安全操作 (5)
每條規則不僅描述了相關安全議題與如何審計部署方案的安全水平,同時還指導大家如何對其加以解決。規則及其補救措施建議皆立足于容器主機制定,而非以集群為基礎,因此大家在選擇解決辦法時需要將集群的規模與平臺選擇考慮進來(包括裸機、容器PaaS乃至云環境等等)。
此次CIS Docker 1.11.0基準(PDF格式,英文原文)中的新增規則包括:
· 主機配置
1.11 審計Docker文件與目錄 - docker.socket
1.13審計Docker文件與目錄- /etc/docker/daemon.json
1.14審計Docker文件與目錄- /usr/bin/docker-containerd
1.15審計Docker文件與目錄- /usr/bin/docker-runc
· Docker守護進程配置
2.8啟用用戶命名空間支持
2.9確認默認cgroup使用情況
2.10非必要時不變更基礎設備規模
2.11 使用授權插件
2.12配置集中化與遠程登錄
2.13禁用舊有注冊表(v1)操作
· Docker守護進程配置文件
3.17驗證daemon.json文件歸屬被設置為root:root
3.18驗證daemon.json文件權限被設置為644或更嚴格
3.19驗證/etc/default/docker文件歸屬被設置為root:root
3.20驗證/etc/default/docker文件權限被設置為644或更嚴格
· 容器鏡像與Build文件
4.5為Docker啟用內容信息
· 容器運行時
5.19不可將掛載傳播方式設定為共享
5.20不可共享主機的UTS命名空間
5.21不可禁用默認seccomp配置文件
5.22不可以權限選項使用docker執行命令
5.23不可以用戶選項使用docker執行命令
5.24確認cgroup使用情況
5.25限制容器獲取額外權限
部分容器安全廠商亦參與到Docker安全基準的制定工作當中,也有一些提交了其產品或項目以檢測并解決相關問題。雖然部分方案能夠利用策略驅動型編排機制解決部分失敗的安全測試問題,但實際上其幾乎無法完全修復任何問題(自動修復機制僅適合少數特定問題)。
安全配置基準以免費方式向全球范圍內發布,并作為面向用戶的標準使用及部署。遵循1.11.0基準要求的現有工具之一為Docker Bench for Security——這是一款開源命令行工具,用于根據CIS Docker基準執行相關檢查。
原文標題:22 new concerns added to Docker security benchmark
【51CTO.com獨家譯稿,合作站點轉載請注明來源】
