通常，新技術(shù)都會(huì)引發(fā)安全顧慮。然而，有兩份報(bào)告都宣稱，在容器內(nèi)運(yùn)行應(yīng)用程序比在容器外更安全。

[[171113]]

任何新技術(shù)進(jìn)入人們視線的時(shí)候，安全問(wèn)題通常都是人們接納的障礙。但是，對(duì)于Docker容器，有2家公司就認(rèn)為，安全應(yīng)該是促使人們采納這一技術(shù)的驅(qū)動(dòng)力。

分析公司Gartner和網(wǎng)絡(luò)安全專家 NCC Group 發(fā)布了研究報(bào)告，詳細(xì)說(shuō)明容器安全現(xiàn)狀。Docker公司安全總監(jiān)內(nèi)森·麥考利說(shuō)：“重點(diǎn)在于，Gartner認(rèn)為應(yīng)用程序在Docker容器內(nèi)運(yùn)行更安全，并且將這一觀點(diǎn)推送給了他們的企業(yè)用戶。再結(jié)合上 NCC Group 確認(rèn)Docker在容器安全領(lǐng)域領(lǐng)袖地位的報(bào)告，就更具重磅意義了。”

Gartner分析師喬戈·弗里奇寫(xiě)道，部署在容器里的應(yīng)用程序，實(shí)際上比直接運(yùn)行在裸機(jī)操作系統(tǒng)上要更安全，因?yàn)?ldquo;應(yīng)用程序和用戶都被隔離在一個(gè)個(gè)容器中了，這樣他們就不能感染其他容器或宿主操作系統(tǒng)了。”

NCC Group 的報(bào)告宣稱，“從安全角度，容器創(chuàng)建了減小攻擊界面和隔離應(yīng)用程序到僅包含所需組件、接口、庫(kù)和網(wǎng)絡(luò)連接的最小環(huán)境的方法。”

麥考利在8月23號(hào)發(fā)布了一篇博文，里面的一張圖表列出了Docker具備的一些關(guān)鍵安全特性，以及與其他容器選項(xiàng)的對(duì)比。這些特性中有個(gè)名為 seccomp濾鏡的功能，是首次添加到2月份推出的 Docker 1.10 更新中的。Seccomp是集成到Linux內(nèi)核主干中的一種技術(shù)，提供細(xì)粒度的安全控制。

Docker最新版本是1.12版，6月推出的。Gartner已經(jīng)在考慮 1.12 版的安全特性了，其中包括內(nèi)置證書(shū)授權(quán)、節(jié)點(diǎn)間相互傳輸層安全(Mutual TLS)身份驗(yàn)證和授權(quán)，以及加密節(jié)點(diǎn)身份。尤為特殊的是，加密節(jié)點(diǎn)身份是驅(qū)動(dòng)未來(lái)安全特性的基礎(chǔ)模塊之一。

然而，Docker的多層次安全并不意味著所有Docker用戶就默認(rèn)安全了。恰當(dāng)?shù)乇Ｗo(hù)Docker容器環(huán)境，涉及到利用上Docker提供的安全功能，以及應(yīng)用最佳配置實(shí)踐。那是2015年5月發(fā)布的 Docker Bench 工具背后的理論基礎(chǔ)。Docker安全在此后又有了新改進(jìn)，而Docker Bench 被設(shè)為保持跟進(jìn)。

麥考利稱：“我們正在更新 Docker Bench 以利用起1.12版中的新編配特性，并為推出的每個(gè)基準(zhǔn)持續(xù)更新我們的sysbench發(fā)布。”