AWS EC2容器服務(wù)是如何改善Docker安全性的?是否有應(yīng)實(shí)施的額外安全措施以確保Docker的安全使用?

[[146383]]

Docker是基于管理程序的虛擬機(jī)的一個(gè)替代品，它可實(shí)現(xiàn)應(yīng)用程序跨平臺(tái)的輕松遷移。它受到了廣大開(kāi)發(fā)運(yùn)營(yíng)專業(yè)人士的青睞，因?yàn)樗蓭椭麄冚p松地把在Mac OS X平臺(tái)上開(kāi)發(fā)的應(yīng)用程序移植到一個(gè)Linux生產(chǎn)服務(wù)器上。

但是，Docker的應(yīng)用還有著一些安全性方面的問(wèn)題。

AWS EC2容器服務(wù)是一個(gè)集群管理系統(tǒng)，它可簡(jiǎn)化Docker鏡像在一組AWS實(shí)例上的使用。因?yàn)橛脩舻膽?yīng)用程序?qū)⒃贓C2實(shí)例上運(yùn)行，所以他們將獲得對(duì)一般可用資源的所有安全控制。這是非常重要的，因?yàn)樗_保了Docker當(dāng)前版本的安全性有著明顯的局限性。

Docker過(guò)程具有訪問(wèn)文件系統(tǒng)的根權(quán)限，而這有可能被用于危及在同一服務(wù)器上其他容器的正常運(yùn)行。據(jù)相關(guān)報(bào)道，Docker的后續(xù)版本將在受限權(quán)限下運(yùn)行。與此同時(shí)，AWS用戶可充分利用這些安全性功能以減少此類風(fēng)險(xiǎn)。

AWS的虛擬私有云計(jì)算(VPC)可在AWS云計(jì)算內(nèi)隔離計(jì)算和網(wǎng)絡(luò)資源。云計(jì)算管理員們可以按實(shí)際需要?jiǎng)?chuàng)建多個(gè)虛擬私有云計(jì)算。在每一個(gè)云計(jì)算內(nèi)，云計(jì)算管理員可以創(chuàng)建子網(wǎng)、定義IP地址以及配置路由器表和網(wǎng)關(guān)。管理員們可以在機(jī)器實(shí)例上設(shè)置額外的控制措施——例如安全組——以便于進(jìn)一步限制對(duì)資源的訪問(wèn)。

管理員們也可以在專用實(shí)例上運(yùn)行Docker。這些實(shí)例在相關(guān)硬件的VPC內(nèi)運(yùn)行，而這些硬件則只能由一個(gè)客戶使用。請(qǐng)注意，對(duì)于這些專用實(shí)例是需要額外付費(fèi)的。

其他的AWS安全控制措施還可被應(yīng)用于運(yùn)行Docker的實(shí)例。例如，可以使用安全組策略針對(duì)服務(wù)器流出流入流量控制規(guī)則。此外，還可將身份與訪問(wèn)管理角色分配給實(shí)例;這將允許實(shí)例來(lái)承擔(dān)分配給角色的權(quán)限。同事，當(dāng)使用角色時(shí)，就不必通過(guò)編程的方式把AWS訪問(wèn)密鑰發(fā)送給實(shí)例;這將有助于減少暴露訪問(wèn)密鑰的風(fēng)險(xiǎn)。

AWS EC2容器服務(wù)將有助于減少企業(yè)在AWS云計(jì)算中運(yùn)行大量Docker實(shí)例的管理開(kāi)銷，但是這不會(huì)降低實(shí)例、子網(wǎng)以及虛擬私有云對(duì)正確配置和安全性的要求。