从Docker、Twistlock、CoreOS看容器安全的现状

2015 年 12 月 15 日

Docker 将容器变成一种商用技术以后就面临一个比较大的问题,就是如何确保容器安全。具体一点讲,安全在容器环境中包含什么内容,如何安全地访问容器以及如何确保容器内部软件不会带来安全问题,等等。随着容器技术成长为一个更加开放的生态系统(尤其在安全方面),任何一种单独的解决方案似乎都不可能解决所有这些问题。近日,InfoWorld 资深作者Serdar Yegulalp分析了Docker、Twistlock、CoreOS 等厂商的容器安全解决方案。

Docker 一直在推动容器技术的发展,包括安全在内。在 11 月份举行的 DockerCon 欧洲大会上,该公司宣布了多项重大安全改进,其中最大的一项是支持用户命名空间。其他改进还包括允许使用Yubico 硬件密钥进行容器签名,以及扫描托管在Docker 官方库中的容器。

除了容器自身的安全外,在将容器部署到生产环境之前,用户还会希望知道容器内的东西是否存在已知的安全问题。 Twistlock 的创建目的就是扫描容器,对照 CVE 数据库检查容器中的软件。此外,它还会检查容器环境,比如,如果容器不应该在第一时间连接网络,那么它就会断开网络连接。

CoreOS 一直支持容器,但它对 Docker 的做法持批评态度,尤其是在安全方面。为此,他们创建了自己的、安全优先的容器格式和运行时。前期,CoreOS宣布了类似Twistlock 的漏洞扫描工具。最近,他们又宣布了一种端到端的安全解决方案“分布式可信计算(Distributed Trusted Computing)”。该方案是其企业级产品 Tectonic 的一部分。同 Docker 的 Yubikey 一样,它也使用了硬件密钥确保容器不会被篡改。而且,它只会启动用户同意启动的容器。此外,该方案的其中一名创建者是 Matthew Garrett,他是 CoreOS 的首席安全工程师,同时也是一位著名的 Linux 开发人员,曾经创建了一种在Windows 8 系统上运行Linux 的方法。


感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。

2015 年 12 月 15 日 18:002091
用户头像

发布了 1008 篇内容, 共 307.1 次阅读, 收获喜欢 272 次。

关注

评论

发布
暂无评论
发现更多内容

架构师训练营第一周作业 食堂就餐卡系统设计

帅到没朋友

极客大学架构师训练营

合并两个单向链表

架构师训练营第一章作业一:就餐管理系统UML图

zenfery

极客大学架构师训练营

食堂就餐卡系统设计

L

第一周命题作业

月殇

极客大学架构师训练营

性能测试总结

食堂就餐卡系统设计

jizhi7

极客大学架构师训练营

Python+Appium运行简单的demo,你需要理解Appium运行原理!

清菡

第一周学习总结

月殇

极客大学架构师训练营

架构师训练营第一期-第一周学习总结

卖猪肉的大叔

作业一:食堂就餐卡系统设计

静海

UML

微服务架构

第五周总结

第一周架构之UML

若水先生

极客大学架构师训练营

食堂就餐卡设计

Bear在挨踢

极客大学架构师训练营

第一周作业

kevin

极客大学架构师训练营

第八周总结

架构师1期week01总结

FG佳

作业二:第一周学习情况总结

静海

架构师训练营Week1 - 学习总结

极客大学架构师训练营

食堂就餐系统

focus

【第一周】课后作业

云龙

极客大学架构师训练营

架构师训练营第一期-第一周课后作业

卖猪肉的大叔

架构师训练营1期作业-学习总结

道长

极客大学架构师训练营

潮汕之旅第一站

熊斌

摄影 游记

【架构师训练营】第一周作业:画图

MindController

架构师

第10周总结

第一周 架构方法学习总结

L

【架构师训练营第 1 期】第一周作业

知鱼君

极客大学架构师训练营

架构师训练营第一周命题作业

一马行千里

极客大学架构师训练营

架构方法

Eddy.何

极客大学架构师训练营 命题作业

从Docker、Twistlock、CoreOS看容器安全的现状-InfoQ