在跨聯(lián)網(wǎng)系統(tǒng)交換數(shù)據(jù)時(shí),信任是一個(gè)關(guān)鍵問(wèn)題。在通過(guò)像互聯(lián)網(wǎng)這樣不可靠的媒介進(jìn)行交互時(shí),為系統(tǒng)依賴的所有數(shù)據(jù)的發(fā)布者確保完整性尤為重要。需要強(qiáng)大的加密保證來(lái)保護(hù)數(shù)據(jù),這時(shí)候Docker Content Trust(DCT)有了用武之地。
?譯者 | 布加迪
審校 | 孫淑娟
在跨聯(lián)網(wǎng)系統(tǒng)交換數(shù)據(jù)時(shí),信任是一個(gè)關(guān)鍵問(wèn)題。在通過(guò)像互聯(lián)網(wǎng)這樣不可靠的媒介進(jìn)行交互時(shí),為系統(tǒng)依賴的所有數(shù)據(jù)的發(fā)布者確保完整性尤為重要。需要強(qiáng)大的加密保證來(lái)保護(hù)數(shù)據(jù),這時(shí)候Docker Content Trust(DCT)有了用武之地。
Docker(DCT)就基礎(chǔ)架構(gòu)中使用的軟件類型和版本提供了強(qiáng)大的加密保證。Docker Content Trust隨Docker版本1.8一同發(fā)布。
Docker Content Trust添加的安全措施可以檢查容器鏡像、存放應(yīng)用程序組件的容器文件以及保存在Docker Hub等注冊(cè)中心的內(nèi)容的一致性。
借助注冊(cè)中心,Docker Content Trust解決了兩個(gè)問(wèn)題:
- 從遠(yuǎn)程存儲(chǔ)庫(kù)下載容器鏡像的用戶可能會(huì)上傳含有惡意軟件的鏡像,但無(wú)法驗(yàn)證其完整性。
- 其次,用戶可能會(huì)將過(guò)期的容器上傳到注冊(cè)中心,這可能影響公司的互操作性、兼容性或性能。
DCT是如何運(yùn)作的?
Docker Content Trust非常簡(jiǎn)單。Docker Content Trust基于Docker Notary工具來(lái)發(fā)布和管理可信任內(nèi)容和更新框架(TUF),后者是一種確保軟件更新系統(tǒng)安全的框架。Notary項(xiàng)目提供了客戶機(jī)/服務(wù)器基礎(chǔ),用于建立信任,以驗(yàn)證和處理內(nèi)容集合。
用戶可以安全地獲得發(fā)布者的公鑰,然后使用公鑰來(lái)驗(yàn)證內(nèi)容。Notary依賴TUF進(jìn)行安全的軟件分發(fā)和更新操作。
Docker Content Trust密鑰:
鏡像標(biāo)簽的信任是通過(guò)使用簽名密鑰來(lái)管理的。DCT與鏡像的TAG(標(biāo)記)部分相關(guān)聯(lián)。當(dāng)DCT操作初次使用時(shí),會(huì)生成一個(gè)密鑰集。
以下密鑰類組成一個(gè)密鑰集:
- 離線密鑰,對(duì)鏡像標(biāo)記而言它是DCT的根。
- 存儲(chǔ)庫(kù)或?qū)?biāo)記簽名的標(biāo)簽密鑰
- 服務(wù)器管理的密鑰,比如時(shí)間戳密鑰,用于確保存儲(chǔ)庫(kù)的新鮮度安全。
鏡像標(biāo)記的信任是通過(guò)使用簽名密鑰來(lái)管理的。DCT在Docker客戶端中默認(rèn)不啟用。必須遵循以下步驟來(lái)設(shè)置DCT。
要想啟用DCT,在您的Linux docker節(jié)點(diǎn)上發(fā)出以下命令:
$ export DOCKER_CONTENT_TRUST=1
DOCKER_CONTENT_TRUST=0 for disabling DCT。
啟用Docker Content Trust的步驟:
- 生成密鑰
- 將Signer添加到Docker存儲(chǔ)庫(kù)中
- 對(duì)鏡像簽名
為了舉例說(shuō)明,我將使用Docker中心來(lái)執(zhí)行啟用Docker Content Trust的步驟。
第1步:登錄到Docker Hub。
dev@srini:~$ docker login
Username: srinukolaparthi
Password: ******
Login Succeeded
第2步:生成信任密鑰。可信任密鑰基本上建立了您的用戶身份,并授予您對(duì)存儲(chǔ)庫(kù)鏡像的訪問(wèn)權(quán)。
Docker trust key generate <signer name>
dev@raghu:~$ docker trust key generate srinidev
Generating key for srinidev...
Enter passphrase for new srinidev key with ID 5259740:
Repeat passphrase for new srinidev key with ID 5259740:
Successfully generated and loaded private key. Corresponding public key available: /Users/docker/srinidev.pub
第3步:將簽名者添加到Docker存儲(chǔ)庫(kù)中。
docker–key <keyfile> <user name> <repo>
dev@srini:~$ docker trust signer add --key srinidev.pub srinidev srinidev/springboot-test
Adding signer "srinidev" to srinidev/springboot...
Initializing signed repository for srinidev/springboot...
You are about to create a new root signing key passphrase. This passphrase
will be used to protect the most sensitive key in your signing system. Please
choose a long, complex passphrase and be careful to keep the password and the
key file itself secure and backed up. It is highly recommended that you use a
password manager to generate the passphrase and keep it safe. There will be no
way to recover this key. You can find the key in your config directory.
Enter passphrase for new root key with ID 443ffc9:
Repeat passphrase for new root key with ID 443ffc9:
Enter passphrase for new repository key with ID d6ef6dd:
Repeat passphrase for new repository key with ID d6ef6dd:
Successfully initialized "srinidev/springboot"
Successfully added signer: srinidev to srinidev/springboot
第4步:
dev@srini:~$ docker build -t srinidev/springboot:unsigned
Sending build context to Docker daemon 3.072kB
Step 1/2 : FROM busybox:latest
latest: Pulling from library/busybox
05669b0daf1fb: Pull complete
Digest: sha256:e26cd013274a657b86e706210ddd5cc1f82f50155791199d29b9e86e935ce135
Status: Downloaded newer image for busybox:latest
---> 93aa35aa1c79
Step 2/2 : CMD Hello this is busybox!
---> Running in g8ea53541c3f
Removing intermediate container k8ea53541c3f
---> 827bac2bb535
Successfully built 827bac2bb535
Successfully tagged srinidev/springboot:unsigned
第5步:將鏡像推送到Docker存儲(chǔ)庫(kù)。
dev@srini:~$ docker push srinidev/springboot:unsigned
第6步:執(zhí)行命令:$ export DOCKER_CONTENT_TRUST=1
第7步:運(yùn)行Docker鏡像,檢查Docker Content Trust是否有效。
dev@srini:~$ docker run srinidev/springboot:unsigned
docker: No valid trust data for unsigned.
See 'docker run --help'.
由于鏡像未簽名,也沒(méi)有提供簽名數(shù)據(jù),因此無(wú)法啟動(dòng)它,因?yàn)閱⒂昧薉ocker Content Trust。所以很明顯,如果啟用了DCT,它將允許用戶在您的系統(tǒng)上拉取/運(yùn)行鏡像。
第8步:現(xiàn)在不妨測(cè)試和構(gòu)建新的簽名鏡像。
dev@srini:~$ docker build -t srinidev/springboot:signed
第9步:使用以下命令對(duì)Docker鏡像進(jìn)行簽名。
dev@srini:~$ docker trust sign srinidev/springboot:signed
Signing and pushing trust data for local image srinidev/springboot:signed,
may overwrite remote trust data
The push refers to repository [docker.io/srinidev/springboot:signed]
a6d503001157: Layer already exists
signed: digest:
sha256:e8d2db0f9cc124273e5f3bbbd2006bf2f3629953983df859e3aa8092134fa373 size: 567
Signing and pushing trust metadata
Enter passphrase for srinidev key with ID 5239740:
Successfully signed docker.io/srinidev/springboot:signed
DTS命令將生成簽名,并將簽名數(shù)據(jù)和鏡像本身推送到Docker注冊(cè)中心。基本上,它對(duì)鏡像進(jìn)行簽名,還執(zhí)行Docker推送。
第10步:運(yùn)行新的Docker簽名鏡像。
dev@srini:~$ docker run srinidev/springboot:signed
結(jié)語(yǔ)
如果上述步驟很成功,表明Docker Content Trust奏效。要使用帶有簽名和認(rèn)證鏡像的遠(yuǎn)程存儲(chǔ)庫(kù),用戶必須啟用選擇加入的Docker Content Trust功能。
原文標(biāo)題:??How to Secure Containers Using Docker Content Trust??,作者:Srinivas Kolaparthi
