由于容器虛擬化技術(shù)可以充分利用硬件資源,對于開發(fā)團隊就像夢想照進了現(xiàn)實����。盡管容器化沒有推翻虛擬機在企業(yè)應用開發(fā)和部署上的地位����,但是Docker等工具在實現(xiàn)開發(fā)��、測試和部署大規(guī)?�,F(xiàn)代軟件的速度和敏捷性方面大展身手����。Docker容器具有諸多優(yōu)點:無需復雜的hypervisor、可移植性�����、資源隔離性���、輕量級�����、開放標準����、完美適應微服務架構(gòu)。眾多的應用通過容器隔離起來���,相互獨立地運行在同一臺宿主機上�����,哪家公司不喜歡呢�����?
容器的速度和易用性帶來了無限的可能���,開發(fā)團隊很容易被吸引。迄今為止���,Docker容器的下載量已經(jīng)超過4個億�。但是�,對于容器化的擔憂真真切切地存在����。如果你被一時的熱情沖昏了頭腦,反而會適得其反���,無法利用容器的潛力���,阻礙開發(fā)的快速迭代和創(chuàng)新��。如果你的公司決定要安全地擁抱docker��,你需要謹慎地處理安全問題并避免牛仔編程文化���。
需要澄清的是,Docker聲稱自己是安全的���,但關(guān)鍵在于你必須負責任地使用��。當你開始使用Docker��,你會在鏡像倉庫(repos)發(fā)現(xiàn)有很多可下載的模板(“images”)��,它提供了一條編寫微服務應用的捷徑���,從而大大加快開發(fā)速度。問題是你如何判斷哪些images是安全的���,是否包含漏洞����。個人開發(fā)者可能不太關(guān)心Image的漏洞,但是對于企業(yè)�����,安全和數(shù)據(jù)審查是至關(guān)重要的����,必須有人維護。那么問題就來了:如何將企業(yè)的安全策略應用于Docker呢����?
Docker最佳實踐
非營利組織網(wǎng)絡安全中心(CIS)針對docker的安全配置發(fā)布了一個詳盡的、超過100頁的基準測試結(jié)果����,有一些特定的點需要關(guān)注一下。
1. 關(guān)注你使用的鏡像(images)
所有容器都來源于鏡像��,比較典型的是操作系統(tǒng)及其附屬項(shell, default users, libraries, 依賴包)�。正如Docker安全的一個頁面上所描述:Docker容器運行的一個主要風險是:默認設(shè)置提供的隔離可能是不完善的,一方面是因為配置參數(shù)時只能考慮單個因素���,另一方面鏡像可能包含操作系統(tǒng)漏洞��。因此���,這需要使用者去修改容器配置和驗證鏡像——這條規(guī)則適用于每一個容器。
2. 實現(xiàn)自動化部署的代理(agent)
Agent可以協(xié)助你設(shè)置容器的安全參數(shù)����,因為它能夠自動獲取鏡像(image)的信息并將其展現(xiàn)給你。雖然Docker Hub上的鏡像在不斷檢查��、共享和更新�,你不能依賴郵件列表和問題報告來發(fā)現(xiàn)和管理漏洞。單個容器的安全仍然需要用戶自己去負責��,所以你需要自己去檢查依賴�����。你的鏡像倉庫里有哪些鏡像���,鏡像是如何運作的����,你都應該理解,并且擁有自己的掃描和檢查機制�����。Agent很適合做這項工作����,因為不管是運行在宿主機上,還是容器中�,Agent的系統(tǒng)開銷都很小。
3. 以什么方式運行容器
運行容器最安全的方式之一是是在只讀模式下運行�����,容器不能被修改�����,而對于其他人訪問的權(quán)限都沒有���。如果你在只讀模式下運行���,就不需要給每個容器配置一個agent了,也可以重用你驗證過的鏡像�����。如果容器以讀/寫模式運行,最好的做法是在每個容器一個代理����。同時設(shè)定一些規(guī)則�����,不允許從公有倉庫下載鏡像�,也不允許root下運行容器。
4. 管理容器與外部的交互
一個運行的容器可以暴露端口到宿主機的任何一個網(wǎng)卡(network interface)——這是極其危險的�����。一個解決辦法是只暴露宿主機的一個網(wǎng)卡到外網(wǎng)���,任何外部來的請求�,比如入侵檢測��,入侵預防���、防火墻�����、負載均衡等均通過這個網(wǎng)卡處理��。容器端口也應該綁定到宿主機上一個授權(quán)的可信端口�。
5. 需要熟練的Linux管理技巧
Docker支持很多安全增強選項,但默認情況下是沒有設(shè)置的���。因此�����,你需要一個Linux專家來管理基礎(chǔ)設(shè)施����,以保證Docker容器正常運作��,并防止宿主機被誤配置�。
總的來說,企業(yè)使用Docker的最佳策略是結(jié)合CIS基準安全測試與企業(yè)現(xiàn)有的安全策略��,為企業(yè)內(nèi)的Docker容器建立一套安全配置“姿勢”���,并給開發(fā)團隊創(chuàng)造一個安全的實驗環(huán)境�。
本文由時速云工程師趙帥龍編譯,原文鏈接:企業(yè)級容器安全最佳實踐
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/26482.html
