资讯专栏INFORMATION COLUMN

Docker 面临的安全隐患,我们该如何应对

CoderDock / 1709人阅读

摘要:然而,当享受带来扩展性资源利用率和弹性提升的同时,其所面临的安全隐患同样值得重视,近日在上撰文进行了总结。然而除下容器与主系统完全解耦,这种使用就会存在潜在的安全隐患。在回应有关的安全问题时,这里详细讨论了如何缓解的安全问题。

【编者按】对比虚拟机,Docker 在体量等方面拥有显著的优势。然而,当 DevOps 享受 Docker 带来扩展性、资源利用率和弹性提升的同时,其所面临的安全隐患同样值得重视,近日 Chris Taschner 在 SEI 上撰文进行了总结。本文系 OneAPM 工程师编译整理。

基于容器的虚拟化平台提供了一种方式在隔离的实例中运行多个应用程序。容器技术可以为 DevOps 提供显著的优势,包括提高系统的扩展性、资源利用率和弹性。然而除下容器与主系统完全解耦,这种使用就会存在潜在的安全隐患。因此,这篇博文主要描述了为什么系统管理员应该密切关在容器中运行应用所采纳的权限等级,以及用户访问主机系统的权限。


容器已经成为 DevOps 中的新热点技术。特别是 Docker 公司,已经成为了提供容器技术服务的领头公司。使用 Docker 平台,应用程序极其依赖可以被打包进一个单元,也就是所谓的镜像。随后,Docker 就可以运行这个镜像的实例,每个镜像的实例都是在驻留在容器中。

Docker 正成为 DevOps 的代名词。如果你还不熟悉容器的优势的话,概括地说,它们包括了可使用的镜像和易于使用的公共库、镜像版本,以及 Docker 的思想。(欲了解更多信息,请参见 devops.com 上的 Three Reasons We Use Docker)。

在谈到大小时,容器具有很多优势。不像虚拟机,一个容器不需要运行整个操作系统,或者对系统的硬件进行拷贝。容器仅仅只需要足够的操作系统和硬件信息资源来运行它负责托管的应用。所以,容器所消耗的资源比虚拟机小很多,因此同一主机上可以跑的容器肯定比虚拟机多。

而在最小化需要运行的容器上,开发者需要做好足够的权衡。其中一个就是减少容器与系统之间的分离度。与此相反,虚拟机与主机的分离性比容器的更高。Docker 用户需要 root 用户权限去运行容器,如果 Docker 用户不知道容器中运行的是什么,这可能会引发问题。通常,那些 repository 都是未经过审核的,这意味着任何人都可以创建和上传镜像。显然,对从互联网上下载下来的容器给以太多的信任会引发安全问题。

共享命名空间的问题通常是 Docker 的最大问题。命名空间是系统内核所创建的组,它通常会为不同源和区域指定不同的访问级别。而究于扩展性,在 Docker 中并没有为容器提供不同的命名空间——倘若有数百个容器在运行,那么每个容器都需要有独立的命名空间。而且,如果一个容器想要共享存储,那么所有共享这个存储的命名空间必须使用显式访问。

在回应有关 Docker 的安全问题时,这里详细讨论了如何缓解 Docker 的安全问题。缓解方法的建议包括了限制直接访问主机和在容器中运行应用的权限。

除了 Doker 容器的安全指导,还有其它在确保容器安全方面的建议。共享命名空间的一个潜在解决方案是使用 Seccomp,它是一个进程处理工具。Daniel Walsh 在 opensource.com 上详细地介绍了这项工作。

管理员必须清楚容器中运行的究竟是什么。从互联网上下载来的镜像应该仔细审核,然后才在敏感的环境中运行。一般规则,不像字面意义,容器不应是包含在容器内运行的应用程序。

本文系 OneAPM 工程师编译整理。想阅读更多技术文章,请访问 OneAPM 官方博客。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/26451.html

相关文章

  • 放大倍数超5万倍Memcached DDoS反射攻击,怎么破?

    摘要:腾讯云捕获多起反射型攻击截止月日,腾讯云已捕获到多起利用发起的反射型攻击。腾讯云数据监测显示,黑产针对腾讯云业务发起的反射型攻击从月日起进入活跃期,在月日达到活跃高峰,随后攻击次数明显减少,到月日再次出现攻击高峰。 欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由腾讯游戏云发表于云+社区专栏 背景:Memcached攻击创造DDoS攻击流量纪录 近日,利用Memca...

    TalkingData 评论0 收藏0
  • 生产环境部署容器五大挑战及应对之策

    摘要:环境复杂性生态系统易变性跨不同分布式基础架构的部署本文将为你解析生产环境部署容器的五大挑战及应对之策。因此,在整个生产环境中创建监视和销毁的组件需求总量呈指数级增长,从而显著增加了基于容器的管理环境的复杂性。 Docker容器使应用程序开发变得更容易,但在生产中部署容器可能会很难。环境复杂性、生态系统易变性、跨不同分布式基础架构的部署......本文将为你解析生产环境部署容器的五大挑战...

    lwx12525 评论0 收藏0
  • 放大倍数超5万倍Memcached DDoS反射攻击,怎么破?

    摘要:腾讯云捕获多起反射型攻击截止月日,腾讯云已捕获到多起利用发起的反射型攻击。腾讯云数据监测显示,黑产针对腾讯云业务发起的反射型攻击从月日起进入活跃期,在月日达到活跃高峰,随后攻击次数明显减少,到月日再次出现攻击高峰。 欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 作者:腾讯游戏云 背景:Memcached攻击创造DDoS攻击流量纪录 近日,利用Memcached服务器实施...

    TigerChain 评论0 收藏0
  • 坦率讲,企业容器云选K8S就对了!

    摘要:帮你揭开挡在你与容器云之间的那层神秘面纱,看看你的企业究竟适不适合选用基于的容器云管理平台。那么,选择什么样的容器云平台就已经是箭在弦上的大事了。 本文简单粗暴,直戳泪点,ho,不,是直戳痛点。帮你揭开挡在你与容器云之间的那层神秘面纱,看看你的企业究竟适不适合选用基于K8S的容器云管理平台。 企业对容器云平台的需求现状是什么? 众所周知,Docker很火,一大批互联网公司早已领先一步,...

    SKYZACK 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<