Docker增强了容器的安全性

Docker公司宣布了一套新的安全增强在DockerCon EU,庆祝16-17 / 11月16日在巴塞罗那。更改包括容器映像的硬件签名、通过映像扫描进行内容审核、漏洞检测和使用用户名称空间的粒度访问控制策略。

三个月前,Docker引入了Docker Content Trust,并发布了Docker Engine 1.8。在DockerCon EU期间,Docker宣布通过Yubico的YubiKey支持在Docker Content Trust框架上进行硬件签名。Docker和Yubico一起开发了一种触摸-签名的物理键,确保了在演唱图像时的人际互动。其结果是,Docker开发人员、系统管理员和第三方isv现在可以在初始开发和后续更新期间对代码进行数字签名。

Docker还在DockerCon EU上宣布了容器的用户名称空间可用性,允许区分容器和Docker后台级特权。这意味着容器本身不能访问主机上的根目录,只有Docker守护进程可以访问。

Docker的结论是,它现在有可能为每个Dockerized服务建立更细粒度的访问控制权限。Docker在新闻简报中解释说,该特性的另一个结果是,它阻止了一个组织控制另一个组织的应用程序服务。

第三个主要的安全公告是“Docker图像扫描和漏洞检测”。今天所有的官方repos已经被Docker公司签署和扫描,该公司现在有能力将结果呈现给isv和Docker用户。因此,isv可以修复任何漏洞来升级安全配置文件,而Docker用户可以建立完整的图像内容。Docker在不同的安全讨论中强调了为Docker映像提供一个精心策划的存储库的重要性。

Docker图像签名和命名空间是Docker实验性和Notary 0.1提供的功能,而图像扫描和漏洞检测已经成为Docker Hub所有官方repos的一部分。

Docker的安全主管Nathan McCauley在了解Docker安全性的演讲中更深入地解释了他们在Docker上所遵循的关于安全性的四条主线:遏制、起源、验证和漏洞。

在周一DockerCon EU大会的开幕式上,Docker向每位参与者赠送了一个Yubico的Yubikey。Docker还在其博客上发布了一个简短的教程,介绍如何使用Docker Content Trust框架对Docker图像进行签名。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。

相关文章