范围广泛的企业工作负载和云原生应用程序使用 Docker 容器运行。因此,Docker 容器安全已成为云工作负载安全最重要的方面之一,保护 Docker 容器对于想要保持强大安全态势的企业来说是必须的。在这里,我们将仔细研究这个流行的容器平台、常见的 Docker 容器安全问题、最佳实践以及专为提高现代企业的容器安全性而构建的工具。
什么是码头工人?
Docker 是一个容器平台,它使开发人员和系统管理员能够将应用程序及其所有依赖项打包到一个标准化的代码单元中。Docker 容器允许企业在各种环境中将应用程序作为独立进程运行,从超大规模云平台到本地共享机器。由于该平台的敏捷性、易用性和可扩展性,Docker 容器已成为现代云原生基础设施的主要组成部分。
Docker 的工作原理
Docker 的工作原理是为企业提供一个标准平台来运行代码。它将给定应用程序所需的所有必需的二进制文件、库和依赖项打包在一个不可变的容器映像中。
Docker 容器镜像可以通过称为 Dockerfiles 的文本文件创建。创建映像后,它们可以根据需要多次实例化,以在容器引擎(如 Docker Engine 或 Podman)之上运行工作负载作为 Docker 容器。因为它们轻量级、快速、易于实例化和高度可扩展,与在虚拟机或裸机服务器上运行的成熟操作系统相比,容器更适合许多 CI\CD 工作流和云原生微服务架构。
Docker 容器安全
Docker 的流行也使其成为攻击者的高价值目标。正如将带有 Monero 加密货币矿工的恶意容器镜像发布到 Docker Hub 等公共容器注册表等威胁以及Docker cp 漏洞 (CVE-2018-15664)等更细微的安全问题所证明的那样,企业必须考虑整个常见 Docker 生态系统中的威胁以确保他们的容器安全。让我们来看看运行 Docker 容器的企业面临的一些最严重的容器安全威胁,以及可以帮助 DevSecOps 团队缓解这些威胁的最佳实践。
Docker 安全问题
根据 Docker 的说法,企业应该考虑四个主要方面的 Docker 安全审查。他们是:
除了这些 Docker 安全考虑之外,企业还必须考虑其容器映像的来源、给定容器使用的库和二进制文件、已知漏洞的修补程序,以及容器配置和通信的复杂性。
考虑到所有这些,企业在评估其安全状况时需要考虑的一些最重要的 Docker 安全问题是:
Docker 安全最佳实践
为了限制他们暴露于常见的 Docker 容器安全问题,企业可以遵循几种 Docker 安全最佳实践。除了有效的补丁管理和转移安全性等基础知识外,以下是一些最重要的内容: