Docker安全性引質(zhì)疑 怎么破?
以前IT程序員們認(rèn)為重復(fù)利用代碼和遷移應(yīng)用程序是無法實現(xiàn)的夢想,但Docker技術(shù)打破了這一枷鎖,允許應(yīng)用程序包裝在容器中并自由運行在云中。Docker毫無疑問成為2014年最吸引人眼球,并被標(biāo)榜為最有前途的一項新技術(shù)。
但是最近有關(guān)Docker安全性的問題日囂塵上。
確保Docker環(huán)境安全
Docker的勢頭在過去的12個月里十分火熱,很多人表示很少見如此能夠吸引行業(yè)興趣的新興技術(shù)。然而,當(dāng)興奮轉(zhuǎn)化為實際部署時,企業(yè)需要注意Docker的安全性。
Gartner安全和風(fēng)險管理研究主管Joerg Fritsch表示“Docker本身的安全性不是那么糟糕,問題在于其缺乏安全管理”。
了解Docker的人都知道,Docker利用容器將資源進行有效隔離。因此容器相當(dāng)于與Linux OS和hypervisor有著幾乎相同的安全運行管理和配置管理級別。但當(dāng)涉及到安全運營與管理,以及具有保密性、完整性和可用性的通用控件的支持時,Docker可能會讓你失望。
當(dāng)容器運行在本地系統(tǒng)上時,企業(yè)可以通過其安全規(guī)則確保安全性。但一旦容器運行在云端,事實就不會如此簡單了。
當(dāng)Docker運行在云提供商平臺上時,安全性變得更加復(fù)雜。你需要知道云提供商正在做什么,或許你正在于別人共享一臺機器。
雖然容器沒有內(nèi)置的安全因素,而且像Docker這樣的新興技術(shù)很難有比較全面的安全措施,但這并不意味著以后也不會出現(xiàn)。
一些廠商已經(jīng)開始在這方面行動了,例如Waratek推出了一個叫做“Locker”的程序,可以用來監(jiān)控Java應(yīng)用程序和Java引擎之間的活動,當(dāng)發(fā)現(xiàn)問題時及時關(guān)閉受感染的應(yīng)用程序。因為幾乎一半的Docker容器運行Java工作負載,因此Locker可能成為用于確保容器內(nèi)應(yīng)用程序安全性的重要工具。
確保容器部署安全性
也有專家將Docker安全問題的實質(zhì)定位于配置安全,認(rèn)為Docker目前的問題是很難配置一個安全的容器。雖然現(xiàn)在Docker的開發(fā)人員通過創(chuàng)建非常小的容器來降低攻擊面,但問題在于大型企業(yè)內(nèi)部在生產(chǎn)環(huán)境中運行Docker容器的員工需要有更多的可見性和可控性。
專家認(rèn)為,大約90%的外部網(wǎng)絡(luò)攻擊并不是超級復(fù)雜的,攻擊者多是利用了管理員的行為漏洞,比如配置錯誤或者未及時安裝補丁。
因此,企業(yè)在部署數(shù)千或數(shù)萬臺容器時,能夠確保這些容器都遵守企業(yè)安全策略進行配置是至關(guān)重要的事情。
為解決這個問題,就需要增加Docker容器部署的實時可見性,同時實施企業(yè)制定的安全策略。也有一些廠商為此推出解決方案,比如CloudPassage新的云安全產(chǎn)品涵蓋了容器,給運營商提供了實時可見性并幫助他們執(zhí)行容器級別的虛擬基礎(chǔ)設(shè)施的安全策略。
