容器安全性?考考你究竟知道多少

随着Docker的崛起,Linux LXC以及其他的容器供应商已经多次提出了云计算容器技术对于企业应用是否具有足够安全性的问题。

当然,这项新技术比传统基于管理处许的虚拟机具有更低的实用性,这主要是因为这项技术本身仍然是相当的不成熟。然而,由于其性能方面的优势是显而易见的,因此业内对于容器技术的安全性并未多做讨论。

 

什么是云计算容器?

容器技术在很多方面都不同于诸如VMware和VirtualBox这样的技术。

首先,容器通常有一个目的,那就是要托管一个网络服务器或一个数据库。从技术上讲,容器与虚拟机之间的根本区别在于虚拟机模拟虚拟硬件,它需要一个系统管理程序,因此它需要比云计算容器技术更多的磁盘空间和更强大的处理能力。这样一来,云计算容器就成为了受云计算供应商安全性程序垂青的组件。例如,Docker就与所有的主要云计算服务供应商有着一个合作伙伴关系,如亚马逊、微软以及谷歌等。

毫无疑问,容器技术是非常有用的,它能够提供更好的便携性和定制化,同时减少资源消耗和成本支出,但是与其他众多"流行的"技术类似,安全性是阻碍其进一步发展的因素。

云计算容器技术的安全性问题

容器技术的最大问题在于,它们缺少一个像虚拟机所拥有的安全边界。从理论上来说,如果一名黑客能够在底层操作系统中找到一个漏洞,那么他就同样可以利用这个漏洞来获得访问容器的权限。反之的可能性也是理论上存在的,黑客可以找到容器的漏洞,进而利用它来获得访问底层服务器的权限。

更糟糕的是,Docker和其他的容器技术采用了一些可作为“root”超级用户运行的功能(Docker表示,在上个月发布的1.8版本中已经解决了root权限问题)。这个问题可能会对云计算供应商环境带来更大的影响,我们可以想象:所有的云计算服务都通过容器进行部署,而一名黑客能够突破一个容器,并访问相同硬件上的其他容器。对于云计算供应商和云计算用户来说,这个问题都有可能是灾难性的。所以,容器技术的部署需要深思熟虑。

容器的另一个问题是实际的创建过程。例如,如果某一家企业创建了它自己的容器,那么其安全性水平将起决于企业本身的能力;如果工作人员没有很好地开发、保护和管理它,那么容器可能就无法实现其预期效益——也许使用预制的容器可能会更好。但是,需要引起注意的是,如果企业需要从一个存储库中获得一个容器,它可能并不能确切地知道正在下载什么内容;例如,如果容器有一个记录按键操作的技术可将用户名和密码上传至远程服务器,那么会怎么样?

这些安全问题都是较为普遍存在的,因为业界对于容器安全方面的研究还投入不多。此外,对于如何确保其安全性也没有一个明确的指导意见。

简单而言,在业内把容器技术和虚拟机的安全性划上等号之前,还是有很多工作要做的。但是,这项工作已经开始。Docker在2015年八月发布了一个重大的安全更新,其中就包括了名为Docker 内容信任的新功能,这个新功能主要是通过为容器库提供一个基于公共密钥的签名机制来实现容器部署的安全性,从而在一定程度上缓解这一问题。

确保云计算容器安全性的最佳实践

如果某一家企业是从公共库中获取Docker容器的,那么它应当寻找那些由新的Docker内容信任系统签名的Docker容器,以便于确保它下载的是一个合法的容器。其他需要注意的关键点包括:确保禁用不需要的功能、确保只有受信任的用户能够操作控制容器的守护进程。此外,还应启用容器间的防火墙以限制不同容器之间的交互。

当容器技术变得越来越安全时,它们将在大多数企业中占据一席之地。标准部署匹配容器化优势将为业内用户带来便于部署、较低的资源要求以及成本降低等诸多好处。例如,想要部署数据库系统的IT团队能够很容易地获得一个MySQL容器,而这个容器中已经准备好了所有的必备组件,这样就大大缩短了系统部署所需的时间。对于容器技术来说, 最可能的应用场景将是成为虚拟机的配合角色而不是取代它们。在企业部署应用中,这两种技术都有其立足之所。

总之,容器是一个很好的技术,应考虑将其纳入商业应用。配合虚拟机技术,它们能够节省时间和金钱,但是它们的部署却是需要费一番思量的,当然其来源也应是可信的。

本文作者:佚名

来源:51CTO

时间: 2024-10-26 05:48:10

容器安全性?考考你究竟知道多少的相关文章

开放容器计划能否改善容器安全性?

最近Docker和CoreOS联手打造一个新的Linux基金项目叫做开放容器计划(Open Container Project).何谓开放容器计划?他如何改善软件容器的安全性? Dan Sullivan:开放容器计划,也被称为开放容器倡议,意在创建一个标准的容器显像模式和运行引擎.该项目由Linux基金会组织并赞助.尽管Docker已经有一个成形的标准了,Linux软件商CoreOS的相应的叫做rkt的标准与Docker不同,将容器行业分裂开来. 很难想象在软件堆栈这个关键层面上有如此区分的软件

开放容器计划能否改善容器安全性?

最近Docker和CoreOS联手打造一个新的Linux基金项目叫做开放容器计划(Open Container Project).何谓开放容器计划?他如何改善软件容器的安全性? Dan Sullivan:开放容器计划,也被称为开放容器倡议,意在创建一个标准的容器显像模式和运行引擎.该项目由Linux基金会组织并赞助.尽管Docker已经有一个成形的标准了,Linux软件商CoreOS的相应的叫做rkt的标准与Docker不同,将容器行业分裂开来. 很难想象在软件堆栈这个关键层面上有如此区分的软件

【译闻】容器的管理,也是一门艺术

前言 容器和虚拟机之间有几分相近,也有很大区别,我们应该学会在正确的时间,正确地使用容器与虚拟机,以消除它们之间的混淆.本文就容器和虚拟机的使用和管理提供了一些建议.   众所周知,如果你只需要处理一种类型的容器,那么在云环境中管理容器就很简单.可一旦面对容器集群的管理,面对这种多样化技术,那必将伴随着一系列全新的管理挑战.成功管理的关键在于,你要在坠入陷阱之前敏锐地发现它.   最简单的容器使用场景是将现有的应用程序打包进Docker容器并分发:将所有应用程序的附属项都封装到Docker映像中

网易云基于Kubernetes+Docker的容器服务研发实践

网易从2012年春开始云计算研发,陆续上线私有云IaaS.PaaS服务,并实现网易95%以上的互联网业务迁移上云.在近日的网易云技术布道系列活动中,张晓龙分享了网易云基础服务团队在研发容器服务过程中的实战经验.   一.网易云技术架构   首先看到网易云的研发历程和整体架构,如下:   下图是网易云的简单架构:     技术架构从底到上可分为三层:   基础设施层主要采用虚拟化技术将服务器.交换机/路由器以及硬盘等物理设备虚拟成为可以按需分配的计算/存储/网络资源.基础设施层主要包括:云主机.云

关于容器安全的六大误解

关于容器安全的六大误解. 现在很多企业仍褒有传统虚拟化技术比容器技术更为安全的想法.曾经在全球化学公司 500 强 Albemarle 公司任职首席信息安全官,目前在 Twistlock 任职 CTO 的 John Morello 表示,他撰写此文来揭开有关容器技术安全方面的很多错误认知,并且让读者将目光聚焦在企业真正应该关心的问题之上. 误解一:容器也能越狱(jailbreaks) 越狱听起来很吓人,但是现实中却很少发生.多数攻击是专门攻击应用的,如果已经入侵应用,又何需越狱呢?其实企业需要关

你还不造吗?Docker容器技术5大窍门!

Docker自从去年走到聚光灯下后,其粉丝基数就一直在增长.想要了解为什么,以及想从你的容器中获得更多,以下主要回顾了2015年Docker容器的五大窍门.2014年Docker复兴了容器技术,并在过去的一年里主导了整个容器市场.容器的便携性和可扩展性在云用户和开发人员那里得到了共鸣,并随着应用的增长,Docker不断地针对企业用户扩展其自身功能.尽管竞争对手争相提供类似服务,但Docker已经成为一个家喻户晓的名字.不过,一些企业仍然不确定他们是否应该采用容器以及如何将容器集成到他们的云环境中

英特尔推出Clear Linux项目:融合虚拟机和容器的优势

本文讲的是英特尔推出Clear Linux项目:融合虚拟机和容器的优势,[编者的话]Clear Linux的目标是让用户可以充分利用虚拟机的隔离技术,以及容器的部署优势.本文的作者是英特尔的工程师,他表示Clear Linux不管是在启动速度还是内存消耗方面都不逊于容器.Clear Linux目前还处于试验阶段,接下来会支持AppC以及Docker. 容器技术非常火,真是人见人爱.开发者可以使用它来轻松快捷的创建自己的应用程序,同时DevOps和信息系统部门的同事也可以方便的管理和部署.从很大程

Docker增强Container的安全性

本文讲的是Docker增强Container的安全性[编者的话]Docker公司公布了他们最近新推出的安全扫描技术,此技术用于改善Docker容器安全性并且已经在Docker Cloud上上线.通过安全扫描技术可以大大改善目前Docker容器在安全上的不足. 本周Docker宣布他们推出了新的安全扫描技术,此技术用于在整个软件供应链中保障容器内容. Docker安全扫描是Docker云私有仓库计划的一个可选服务.它提供对容器镜像内的软件安全性评估. Docker宣称,在整个软件供应链过程中会启用

在OpenShift中运行容器

本文讲的是在OpenShift中运行容器[编者的话]本文不是一篇关于如何在OpenShift中使用和部署容器的指导性文章,也没有具体介绍OpenShift的原理组成,关于如何使用OpenShift可以参考另一篇<OpenShift V3 应用发布部署的简单场景演示>. [深入浅出学习 etcd]etcd为分布式系统提供可靠.高效的配置管理服务,在Docker.Kubernetes.Mesos等平台中扮演了越来越重要的角色.作为2013年开始的项目,它还很年轻,官方文档中缺乏实现上全面.系统的介