Gartner公司的分析師發(fā)表一份聲明，指出盡管這款容器化工具已經(jīng)闖出了響亮的名號(hào)、但Docker的安全性仍然不夠成熟。

于上周發(fā)表的這篇《Docker管理下的容器安全性評(píng)估》指出，“Linux容器在成熟程度方面已經(jīng)足以應(yīng)對(duì)私有以及公有PaaS的實(shí)際需求”，但“……在安全性管理與控制方面的表現(xiàn)卻令人失望，而且也無(wú)法為常見(jiàn)控制任務(wù)在機(jī)密性、完整性與可用性等方面提供必要支持。”

 [[126305]]  

這份文件同時(shí)表示，將Docker運(yùn)行在虛擬機(jī)管理程序當(dāng)中——一般指VMware環(huán)境，而非微軟虛擬環(huán)境——并不一定能夠帶來(lái)切實(shí)有效的助益。

“在大多數(shù)情況下，Docker可能會(huì)被部署在以虛擬機(jī)管理程序?yàn)榛A(chǔ)的訪客服務(wù)器之上，”分析師Joerg Fritsch寫(xiě)道。“不過(guò)除了進(jìn)一步導(dǎo)致資源之間的相互隔離，Docker并不能從底層虛擬機(jī)管理程序當(dāng)中得到多少實(shí)質(zhì)性的助益。Docker與容器技術(shù)根本無(wú)法通過(guò)虛擬機(jī)管理程序彌合自身最為嚴(yán)重的兩大短板：安全性保障與管理功能，外加在常見(jiàn)控制機(jī)制的機(jī)密性、完整性與可用性方面提供支持。事實(shí)上，虛擬機(jī)管理程序的介入只會(huì)增加新的復(fù)雜性，這一方面給管理人員帶來(lái)額外的工作任務(wù)、同時(shí)也可能造成某些沖突——例如將SDN引入容器化環(huán)境。”

對(duì)于SELinux與AppArmor兩個(gè)項(xiàng)目則傳出了好消息：Fritsch表示對(duì)于那些熱衷于運(yùn)行Docker方案的用戶(hù)來(lái)說(shuō)，這兩款工具可謂不可或缺。

這篇文章同時(shí)指出，Docker還是一項(xiàng)年輕的技術(shù)、因此目前尚未積累起能夠滿(mǎn)足實(shí)際生產(chǎn)需求的完整工具生態(tài)系統(tǒng)。必須采取專(zhuān)用備份機(jī)制是其中一大弱項(xiàng)(截至文章發(fā)稿時(shí)，Asigra公司的產(chǎn)品已經(jīng)解決了這個(gè)難題)，此外Docker容器不具備加密工具——底層操作系統(tǒng)只能在磁盤(pán)層面發(fā)揮作用——而且各大安全企業(yè)也還沒(méi)有將注意力集中在為容器方案提供端點(diǎn)保護(hù)身上。

Docker還缺乏實(shí)時(shí)遷移工具，F(xiàn)ritsch表示，這使得虛擬機(jī)管理程序雖然能夠成為很好的Docker運(yùn)行基礎(chǔ)、但在這方面仍然無(wú)法同Parallels的Virtuozzo比肩。

總體而言，F(xiàn)ritsch的基本觀點(diǎn)是Docker在安全功能方面還算不錯(cuò)，而2015年當(dāng)中大量第三方工具以及整合到Docker自身當(dāng)中的功能提升方案將不斷涌現(xiàn)，從而在改進(jìn)可管理性的同時(shí)、真正幫助這款年輕的軟件擁有滿(mǎn)足各類(lèi)實(shí)際業(yè)務(wù)預(yù)期的能力。根據(jù)他的說(shuō)法，這些將陸續(xù)亮相的方案將使Docker在操作便捷性方面不斷提升，屆時(shí)利用已知參數(shù)實(shí)現(xiàn)操作將成為最佳實(shí)踐，因此也就減少了企業(yè)客戶(hù)對(duì)于信息安全及治理專(zhuān)業(yè)人士的高度依賴(lài)性。

Fritsch并沒(méi)有提到Docker所面臨的安全漏洞，這使得這份文件更像是針對(duì)Docker產(chǎn)品的一份說(shuō)明性報(bào)告。