通常，新技術(shù)都會引發(fā)安全顧慮。然而，有兩份報告都宣稱，在容器內(nèi)運行應(yīng)用程序比在容器外更安全。

[[171113]]

任何新技術(shù)進入人們視線的時候，安全問題通常都是人們接納的障礙。但是，對于Docker容器，有2家公司就認為，安全應(yīng)該是促使人們采納這一技術(shù)的驅(qū)動力。

分析公司Gartner和網(wǎng)絡(luò)安全專家 NCC Group 發(fā)布了研究報告，詳細說明容器安全現(xiàn)狀。Docker公司安全總監(jiān)內(nèi)森·麥考利說：“重點在于，Gartner認為應(yīng)用程序在Docker容器內(nèi)運行更安全，并且將這一觀點推送給了他們的企業(yè)用戶。再結(jié)合上 NCC Group 確認Docker在容器安全領(lǐng)域領(lǐng)袖地位的報告，就更具重磅意義了。”

Gartner分析師喬戈·弗里奇寫道，部署在容器里的應(yīng)用程序，實際上比直接運行在裸機操作系統(tǒng)上要更安全，因為“應(yīng)用程序和用戶都被隔離在一個個容器中了，這樣他們就不能感染其他容器或宿主操作系統(tǒng)了。”

NCC Group 的報告宣稱，“從安全角度，容器創(chuàng)建了減小攻擊界面和隔離應(yīng)用程序到僅包含所需組件、接口、庫和網(wǎng)絡(luò)連接的最小環(huán)境的方法。”

麥考利在8月23號發(fā)布了一篇博文，里面的一張圖表列出了Docker具備的一些關(guān)鍵安全特性，以及與其他容器選項的對比。這些特性中有個名為 seccomp濾鏡的功能，是首次添加到2月份推出的 Docker 1.10 更新中的。Seccomp是集成到Linux內(nèi)核主干中的一種技術(shù)，提供細粒度的安全控制。

Docker最新版本是1.12版，6月推出的。Gartner已經(jīng)在考慮 1.12 版的安全特性了，其中包括內(nèi)置證書授權(quán)、節(jié)點間相互傳輸層安全(Mutual TLS)身份驗證和授權(quán)，以及加密節(jié)點身份。尤為特殊的是，加密節(jié)點身份是驅(qū)動未來安全特性的基礎(chǔ)模塊之一。

然而，Docker的多層次安全并不意味著所有Docker用戶就默認安全了。恰當(dāng)?shù)乇ＷoDocker容器環(huán)境，涉及到利用上Docker提供的安全功能，以及應(yīng)用最佳配置實踐。那是2015年5月發(fā)布的 Docker Bench 工具背后的理論基礎(chǔ)。Docker安全在此后又有了新改進，而Docker Bench 被設(shè)為保持跟進。

麥考利稱：“我們正在更新 Docker Bench 以利用起1.12版中的新編配特性，并為推出的每個基準(zhǔn)持續(xù)更新我們的sysbench發(fā)布。”