文档章节

Docker 面临的安全隐患,我们该如何应对

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2015/08/24 19:35
字数 1132
阅读 51
收藏 2

【编者按】对比虚拟机,Docker 在体量等方面拥有显著的优势。然而,当 DevOps 享受 Docker 带来扩展性、资源利用率和弹性提升的同时,其所面临的安全隐患同样值得重视,近日 Chris Taschner 在 SEI 上撰文进行了总结。本文系 OneAPM 工程师编译整理。

基于容器的虚拟化平台提供了一种方式在隔离的实例中运行多个应用程序。容器技术可以为 DevOps 提供显著的优势,包括提高系统的扩展性、资源利用率和弹性。然而除下容器与主系统完全解耦,这种使用就会存在潜在的安全隐患。因此,这篇博文主要描述了为什么系统管理员应该密切关在容器中运行应用所采纳的权限等级,以及用户访问主机系统的权限。

面临的 Docker 的安全隐患,我们该如何应对? 容器已经成为 DevOps 中的新热点技术。特别是 Docker 公司,已经成为了提供容器技术服务的领头公司。使用 Docker 平台,应用程序极其依赖可以被打包进一个单元,也就是所谓的镜像。随后,Docker 就可以运行这个镜像的实例,每个镜像的实例都是在驻留在容器中。

Docker 正成为 DevOps 的代名词。如果你还不熟悉容器的优势的话,概括地说,它们包括了可使用的镜像和易于使用的公共库、镜像版本,以及 Docker 的思想。(欲了解更多信息,请参见 devops.com 上的 Three Reasons We Use Docker)。

在谈到大小时,容器具有很多优势。不像虚拟机,一个容器不需要运行整个操作系统,或者对系统的硬件进行拷贝。容器仅仅只需要足够的操作系统和硬件信息资源来运行它负责托管的应用。所以,容器所消耗的资源比虚拟机小很多,因此同一主机上可以跑的容器肯定比虚拟机多。

而在最小化需要运行的容器上,开发者需要做好足够的权衡。其中一个就是减少容器与系统之间的分离度。与此相反,虚拟机与主机的分离性比容器的更高。Docker 用户需要 root 用户权限去运行容器,如果 Docker 用户不知道容器中运行的是什么,这可能会引发问题。通常,那些 repository 都是未经过审核的,这意味着任何人都可以创建和上传镜像。显然,对从互联网上下载下来的容器给以太多的信任会引发安全问题。

共享命名空间的问题通常是 Docker 的最大问题。命名空间是系统内核所创建的组,它通常会为不同源和区域指定不同的访问级别。而究于扩展性,在 Docker 中并没有为容器提供不同的命名空间——倘若有数百个容器在运行,那么每个容器都需要有独立的命名空间。而且,如果一个容器想要共享存储,那么所有共享这个存储的命名空间必须使用显式访问。

在回应有关 Docker 的安全问题时,这里详细讨论了如何缓解 Docker 的安全问题。缓解方法的建议包括了限制直接访问主机和在容器中运行应用的权限。

除了 Doker 容器的安全指导,还有其它在确保容器安全方面的建议。共享命名空间的一个潜在解决方案是使用 Seccomp,它是一个进程处理工具。Daniel Walsh 在 opensource.com 上详细地介绍了这项工作。

管理员必须清楚容器中运行的究竟是什么。从互联网上下载来的镜像应该仔细审核,然后才在敏感的环境中运行。一般规则,不像字面意义,容器不应是包含在容器内运行的应用程序。

OneAPM 是应用性能管理领域的新兴领军企业,能帮助运维人员进行故障预警和定位,减少业务系统维护的工作量,同时还能提供可追溯的性能数据,量化运维部门的业务价值。想告别加班熬夜,欢迎免费注册体验!

© 著作权归作者所有

共有 人打赏支持
OneAPM蓝海讯通
粉丝 93
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
1.4亿IC卡安全有隐患:掌握技术可修改钱数

非接触式IC卡核心技术被破解 涉及高校公交及其他公共领域 核心 提示 日前,工业和信息部发布了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》,要求各地各机关和部门开展对IC卡使用情况...

红薯
2009/04/10
869
3
错过要等一年!8位阿里大V解密双11背后的黑科技

2016年双11是新零售的一个起点。交易额1207亿,开场30分钟,创造每秒交易峰值17.5万笔,每秒支付峰值12万笔的新纪录;菜鸟单日物流订单量超过6.57亿,创历史新高…… 这些商业上的成功,离不...

阿里技术
2016/11/30
3K
11
runC 爆严重漏洞,使用容器的快打补丁

runC 是 Docker,Kubernetes 等依赖容器的应用程序的底层容器运行时,此次爆出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。 容器的安全性一直是容器技术的一个短板。关于容器...

段段段落
02/13
0
5
坦率的讲,企业容器云选K8S就对了!

本文简单粗暴,直戳泪点,ho,不,是直戳痛点。帮你揭开挡在你与容器云之间的那层神秘面纱,看看你的企业究竟适不适合选用基于K8S的容器云管理平台。 企业对容器云平台的需求现状是什么? 众...

时速云
2016/10/25
393
0
Docker再发现:实现DevOps的双刃剑!

本文根据第56期线上分享整理而成。 前言 先做个自我介绍,本人毕业于香港科技大学,然后回国先后在IBM与微软工作,后加入了云络公司做架构师和解决方案顾问工作。 云络公司是一家致力于系统自...

王寒
2016/05/11
0
0

没有更多内容

加载失败,请刷新页面

加载更多

容器服务

简介 容器服务提供高性能可伸缩的容器应用管理服务,支持用 Docker 和 Kubernetes 进行容器化应用的生命周期管理,提供多种应用发布方式和持续交付能力并支持微服务架构。 产品架构 容器服务...

狼王黄师傅
昨天
3
0
高性能应用缓存设计方案

为什么 不管是刻意或者偶尔看其他大神或者大师在讨论高性能架构时,自己都是认真的去看缓存是怎么用呢?认认真真的看完发现缓存这一块他们说的都是一个WebApp或者服务的缓存结构或者缓存实现...

呼呼南风
昨天
12
0
寻找一种易于理解的一致性算法(扩展版)

摘要 Raft 是一种为了管理复制日志的一致性算法。它提供了和 Paxos 算法相同的功能和性能,但是它的算法结构和 Paxos 不同,使得 Raft 算法更加容易理解并且更容易构建实际的系统。为了提升可...

Tiny熊
昨天
2
0
聊聊GarbageCollectionNotificationInfo

序 本文主要研究一下GarbageCollectionNotificationInfo CompositeData java.management/javax/management/openmbean/CompositeData.java public interface CompositeData { public Co......

go4it
昨天
3
0
阿里云ECS的1M带宽理解

本文就给大家科普下阿里云ECS的固定1M带宽的含义。 “下行带宽”和“上行带宽” 为了更好的理解,需要先给大家解释个词“下行带宽”和“上行带宽”: 下行带宽:粗略的解释就是下载数据的最大...

echojson
昨天
10
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部