Docker使用过程中需要关注的五项安全问题
2016-12-16 00:00
323 查看
【编者的话】在利用Docker承载大家的关键性任务应用程序时,我们必须对五项重要安全问题加以关注。
通过阅读网上帖子以及浏览相关新闻,大家可能会产生一种先入为主的印象,即Docker天生安全性薄弱且尚不足以被直接引入生产环境。不过实际情况是,虽然我们需要对容器安全性加以高度关注,但只要使用得当,其完全可以成为一套远优于单独使用虚拟机或者裸机的安全、高效生产系统。
要安全地使用Docker方案,大家首先需要了解其面对的潜在安全问题,并掌握能够对基于容器之系统加以切实保护的各类主要工具与技术。
大家还需要随时牢记以下五个问题,并在利用Docker承载关键性任务应用程序的整个流程当中秉承这种谨慎的态度。
原文来源:http://www.youruncloud.com/docker/1_52.html
通过阅读网上帖子以及浏览相关新闻,大家可能会产生一种先入为主的印象,即Docker天生安全性薄弱且尚不足以被直接引入生产环境。不过实际情况是,虽然我们需要对容器安全性加以高度关注,但只要使用得当,其完全可以成为一套远优于单独使用虚拟机或者裸机的安全、高效生产系统。
要安全地使用Docker方案,大家首先需要了解其面对的潜在安全问题,并掌握能够对基于容器之系统加以切实保护的各类主要工具与技术。
大家还需要随时牢记以下五个问题,并在利用Docker承载关键性任务应用程序的整个流程当中秉承这种谨慎的态度。
内核漏洞
与虚拟机系统不同,全部容器及其主机使用的都是同一套共享内核,因此该内核中存在的任何安全漏洞都有可能造成巨大影响。如果某套容器系统导致内核崩溃,那么这反过来又会造成整台主机上的全部容器毁于一旦。在虚拟机当中,情况则要好得多:攻击者必须借道虚拟机内核与虚拟机管理程序之后,才有可能真正接触到主机内核。拒绝服务攻击
所有容器都共享同样的内核资源。如果某套容器能够以独占方式访问某些资源——包括内存以及用户ID等其它更为抽象化的资源——那么与其处于同一台主机上的其它容器则很可能因资源匮乏而无法正常运转。这正是拒绝服务攻击(简称DoS)的产生原理,即合法用户无法对部分或者全部系统进行访问。容器突破
能够访问某一容器的攻击者在原则上应该无法借此访问到其它容器或者主机。在默认情况下,用户并不具备命名空间,因此游离于容器之外的任何进程都将在主机之上获得与容器内相同的执行权限; 而如果大家在容器内拥有root权限,那么在主机上亦将具备root身份。这意味着大家需要对这种潜在的权限提升攻击做好准备——这类攻击意味着用户往往通过应用程序代码中需要配合额外权限的bug实现权限提升,从而使攻击者获得root或者其它级别的访问与操纵能力。考虑到容器技术目前仍处于早期发展阶段,因此我们在规划自己的安全体系时,必须要将这种容器突破状况考虑在内。含毒镜像
那么我们要如何判断自己使用的镜像是否安全、是否存在篡改或者其宣称的来源是否可靠?如果攻击者诱导大家运行由其精心设计的镜像,那么各位的主机与数据都将处于威胁之下。同样的,大家还需要确保自己运行的镜像为最新版本,且其中不包含任何存在已知安全漏洞的软件版本。违规之秘
当容器面向某数据库或者服务发起访问时,其往往需要某种秘密因素加以配合,例如API密钥或者用户名加密码。能够获取这些秘密因素的攻击者自然会将触手伸向对应服务。这类问题在微服务架构当中往往更为严重,因为在此类环境内各容器会频繁中止与启动,因此受到的威胁远高于一般而言运行周期更长且数据较少的虚拟机系统。原文来源:http://www.youruncloud.com/docker/1_52.html
相关文章推荐
- MySQL使用需要关注编码问题
- OA系统使用过程中遇到安全问题如何解决
- CentOS7.x系统中使用Docker时,在存储方面需要注意的问题
- 使用Redis需要注意的数据安全问题
- win7 64位下自行编译OpenCV2.4.10+CUDA toolkit 5.5的整个过程以及需要注意的问题(opencv+cuda并行计算元素的使用)
- .NET中静态变量的使用需要注意线程安全问题
- 在使用微软提供的安全模版(安全策略)时需要注意的安全问题
- ubuntu 使用过程中可能遇到的问题,和所需要用到的情况设置
- Spring 和Struts2 整合 特别需要关注Session 关闭的问题:解决方法是使用 OpenSessionInViewFilter
- 面向过程就是分析出解决问题所需要的步骤,然后用函数把这些步骤一步一步实现,使用的时候一个一个依次调用就可以了;面向对象是把构成问题事务分解成各个对象,建立对象的目的不是为了完成一个步骤,而是为了描叙某个事物在整个解决问题的步骤中的行为(转)
- 2007年需要企业关注的五大安全问题
- VMware Harbor 使用过程中遇到的问题 1 -- 无法上传docker镜像
- •在使用微软提供的安全模版(安全策略)时需要注意的安全问题-(2013/09/18)
- win7 64位下自行编译OpenCV2.4.10+CUDA toolkit 5.5的整个过程以及需要注意的问题(opencv+cuda并行计算元素的使用)
- Cygwin使用过程中需要注意的一些问题
- 使用docker过程中遇到的问题
- 开发过程中需要注意的安全问题
- 互联网服务器的实现过程需要考虑哪些安全问题 & 加解密及哈希知识点
- hyperpacer在使用过程中需要解决的三个问题