文档章节

Docker使用过程中需要关注的五项安全问题

有容云
 有容云
发布于 2016/12/16 16:23
字数 1074
阅读 3
收藏 0

【编者的话】在利用Docker承载大家的关键性任务应用程序时,我们必须对五项重要安全问题加以关注。


通过阅读网上帖子以及浏览相关新闻,大家可能会产生一种先入为主的印象,即Docker天生安全性薄弱且尚不足以被直接引入生产环境。不过实际情况是,虽然我们需要对容器安全性加以高度关注,但只要使用得当,其完全可以成为一套远优于单独使用虚拟机或者裸机的安全、高效生产系统。


要安全地使用Docker方案,大家首先需要了解其面对的潜在安全问题,并掌握能够对基于容器之系统加以切实保护的各类主要工具与技术。


大家还需要随时牢记以下五个问题,并在利用Docker承载关键性任务应用程序的整个流程当中秉承这种谨慎的态度。

 

内核漏洞

与虚拟机系统不同,全部容器及其主机使用的都是同一套共享内核,因此该内核中存在的任何安全漏洞都有可能造成巨大影响。如果某套容器系统导致内核崩溃,那么这反过来又会造成整台主机上的全部容器毁于一旦。在虚拟机当中,情况则要好得多:攻击者必须借道虚拟机内核与虚拟机管理程序之后,才有可能真正接触到主机内核。

 

拒绝服务攻击

所有容器都共享同样的内核资源。如果某套容器能够以独占方式访问某些资源——包括内存以及用户ID等其它更为抽象化的资源——那么与其处于同一台主机上的其它容器则很可能因资源匮乏而无法正常运转。这正是拒绝服务攻击(简称DoS)的产生原理,即合法用户无法对部分或者全部系统进行访问。

 

容器突破

能够访问某一容器的攻击者在原则上应该无法借此访问到其它容器或者主机。在默认情况下,用户并不具备命名空间,因此游离于容器之外的任何进程都将在主机之上获得与容器内相同的执行权限; 而如果大家在容器内拥有root权限,那么在主机上亦将具备root身份。这意味着大家需要对这种潜在的权限提升攻击做好准备——这类攻击意味着用户往往通过应用程序代码中需要配合额外权限的bug实现权限提升,从而使攻击者获得root或者其它级别的访问与操纵能力。考虑到容器技术目前仍处于早期发展阶段,因此我们在规划自己的安全体系时,必须要将这种容器突破状况考虑在内。

 

含毒镜像

那么我们要如何判断自己使用的镜像是否安全、是否存在篡改或者其宣称的来源是否可靠?如果攻击者诱导大家运行由其精心设计的镜像,那么各位的主机与数据都将处于威胁之下。同样的,大家还需要确保自己运行的镜像为最新版本,且其中不包含任何存在已知安全漏洞的软件版本。

 

违规之秘

当容器面向某数据库或者服务发起访问时,其往往需要某种秘密因素加以配合,例如API密钥或者用户名加密码。能够获取这些秘密因素的攻击者自然会将触手伸向对应服务。这类问题在微服务架构当中往往更为严重,因为在此类环境内各容器会频繁中止与启动,因此受到的威胁远高于一般而言运行周期更长且数据较少的虚拟机系统。

 

原文来源:http://www.youruncloud.com/docker/1_52.html

本文转载自:http://www.youruncloud.com/docker/1_52.html

有容云
粉丝 2
博文 52
码字总数 38431
作品 0
深圳
私信 提问
Docker为整个软件生命周期提供安全保障

作者:Docker Security Team 译者:廖煜 提到Docker的安全性和隔离性,人们关注点大多都在运行阶段。但是,运行时的安全问题仅仅是整个软件生命周期中的一部分,我们需要在整个软件生命周期都...

精灵云
2016/09/07
0
0
Docker Machine 详解

Docker 与 Docker Machine 的区别 Docker 是一个 Client-Server 架构的应用,人家是有官称的:Docker Engine。Docker 只是大家对 Docker Engine 的昵称,当然 Docker 还有其他的意思,比如一...

wudized
2018/06/26
0
0
想使用Docker容器?先看看这些注意事项

Docker容器无疑是最近十年来最引人注目的技术之一,因为有了它,对我们思考设计、开发和运维软件的方式产生了非常有益的影响。 但是就像每一个开发工具一样,为了充分利用这些工具,需要注意...

思考的犀牛
2017/11/22
0
0
Docker的终极进化

伴随着容器的安全,存储以及编排问题,在过去几个月整个生态系统发生了快速的变化。在春季你所知道的关于Docker的内容,现在或许已经不再属实。如下是从那以后整个容器生态系统变化的摘要。 ...

linuxprobe
2016/10/23
40
0
生命天赋工作坊参与体会

昨晚有幸参加了龚师妹与小敏组织的生命天赋工作坊。趁热打铁,记录一下活动的过程和自己的一些心得体会。 活动开始,按照指示,小伙伴们在场地内围成一个大圆圈坐着,这样的布局就让人感到...

知猪侠_CD
2017/08/04
0
0

没有更多内容

加载失败,请刷新页面

加载更多

springboot初探---spring-boot-starter-web究竟干了啥

上一篇已经简单介绍了启动类的部分,这一篇主要讨论一下springboot引入的哪些依赖 我们都知道想用springboot做一个web应用,首先要做的是引入相关依赖,两步操作: 1、添加spring-boot-start...

计算机狼
33分钟前
5
0
基于Rocket.chat搭建内网聊天系统(使用docker,本机不需要安装meteor)

您可能不希望使用标准的Docker命令,而是希望对部署进行更多的自动化管理。这就是使用Docker-compose可能会派上用场的地方。 确保您已安装Docker和Docker-compose并且可以正常运行。 docker...

吴伟祥
36分钟前
6
0
conda 更新源

更新conda 源为阿里源 conda config --add channels http://mirrors.aliyun.com/pypi/simple conda config --set show_channel_urls yes 阿里云: http://mirrors.aliyun.com/pypi/simple/ 豆......

Mr_Tea伯奕
36分钟前
4
0
java 泛型使用

每次写泛型方法都翻下百度,还是自己记录下把。 1、定义一个泛型方法,使用传入参数类型来传递泛型。这种用法在封装json序列化工具类应该会用到。 List<xxx> aa = getList(xxx.class);pr...

朝如青丝暮成雪
40分钟前
6
0
深入了解Java模板引擎Freemarker

前言 常用的Java模板引擎包括:JSP、Freemarker、Thymeleaf、Velocity,从Github上查阅到这几款主流的模板引擎的性能的对比,总体上看,JSP、Freemarker、Thymeleaf、Velocity在性能上差别不...

code-ortaerc
41分钟前
8
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部