以前IT程序員們認(rèn)為重復(fù)利用代碼和遷移應(yīng)用程序是無(wú)法實(shí)現(xiàn)的夢(mèng)想，但Docker技術(shù)打破了這一枷鎖，允許應(yīng)用程序包裝在容器中并自由運(yùn)行在云中。Docker毫無(wú)疑問成為2014年最吸引人眼球，并被標(biāo)榜為最有前途的一項(xiàng)新技術(shù)。

但是最近有關(guān)Docker安全性的問題日囂塵上。

確保Docker環(huán)境安全

Docker的勢(shì)頭在過去的12個(gè)月里十分火熱，很多人表示很少見如此能夠吸引行業(yè)興趣的新興技術(shù)。然而，當(dāng)興奮轉(zhuǎn)化為實(shí)際部署時(shí)，企業(yè)需要注意Docker的安全性。

Gartner安全和風(fēng)險(xiǎn)管理研究主管Joerg Fritsch表示“Docker本身的安全性不是那么糟糕，問題在于其缺乏安全管理”。

了解Docker的人都知道，Docker利用容器將資源進(jìn)行有效隔離。因此容器相當(dāng)于與Linux OS和hypervisor有著幾乎相同的安全運(yùn)行管理和配置管理級(jí)別。但當(dāng)涉及到安全運(yùn)營(yíng)與管理，以及具有保密性、完整性和可用性的通用控件的支持時(shí)，Docker可能會(huì)讓你失望。

當(dāng)容器運(yùn)行在本地系統(tǒng)上時(shí)，企業(yè)可以通過其安全規(guī)則確保安全性。但一旦容器運(yùn)行在云端，事實(shí)就不會(huì)如此簡(jiǎn)單了。

當(dāng)Docker運(yùn)行在云提供商平臺(tái)上時(shí)，安全性變得更加復(fù)雜。你需要知道云提供商正在做什么，或許你正在于別人共享一臺(tái)機(jī)器。

雖然容器沒有內(nèi)置的安全因素，而且像Docker這樣的新興技術(shù)很難有比較全面的安全措施，但這并不意味著以后也不會(huì)出現(xiàn)。

一些廠商已經(jīng)開始在這方面行動(dòng)了，例如Waratek推出了一個(gè)叫做“Locker”的程序，可以用來(lái)監(jiān)控Java應(yīng)用程序和Java引擎之間的活動(dòng)，當(dāng)發(fā)現(xiàn)問題時(shí)及時(shí)關(guān)閉受感染的應(yīng)用程序。因?yàn)閹缀跻话氲腄ocker容器運(yùn)行Java工作負(fù)載，因此Locker可能成為用于確保容器內(nèi)應(yīng)用程序安全性的重要工具。

確保容器部署安全性

也有專家將Docker安全問題的實(shí)質(zhì)定位于配置安全，認(rèn)為Docker目前的問題是很難配置一個(gè)安全的容器。雖然現(xiàn)在Docker的開發(fā)人員通過創(chuàng)建非常小的容器來(lái)降低攻擊面，但問題在于大型企業(yè)內(nèi)部在生產(chǎn)環(huán)境中運(yùn)行Docker容器的員工需要有更多的可見性和可控性。

專家認(rèn)為，大約90%的外部網(wǎng)絡(luò)攻擊并不是超級(jí)復(fù)雜的，攻擊者多是利用了管理員的行為漏洞，比如配置錯(cuò)誤或者未及時(shí)安裝補(bǔ)丁。

因此，企業(yè)在部署數(shù)千或數(shù)萬(wàn)臺(tái)容器時(shí)，能夠確保這些容器都遵守企業(yè)安全策略進(jìn)行配置是至關(guān)重要的事情。

為解決這個(gè)問題，就需要增加Docker容器部署的實(shí)時(shí)可見性，同時(shí)實(shí)施企業(yè)制定的安全策略。也有一些廠商為此推出解決方案，比如CloudPassage新的云安全產(chǎn)品涵蓋了容器，給運(yùn)營(yíng)商提供了實(shí)時(shí)可見性并幫助他們執(zhí)行容器級(jí)別的虛擬基礎(chǔ)設(shè)施的安全策略。

原文鏈接：http://www.searchsv.com.cn/showcontent_87553.htm