飞天发布时刻:2024年 Forrester 公有云平台Wave™评估报告解读 了解详情
写点什么

Docker 新增三大功能特性,增强容器安全

  • 2015-11-19
  • 本文字数:917 字

    阅读完需:约 3 分钟

11 月 16-17 日, DockerCon Europe 2015 在西班牙的巴塞罗那召开。在该会议中,Docker 公司宣布了其对Docker 平台中容器安全方面的三大改进——支持利用YubiKey 进行硬件签名、对Docker Hub 中的镜像开始进行安全扫描和支持用户名字空间。

首先,Docker 开始支持利用YubiKey 设备进行硬件签名。该USB 设备与之前Docker 已经实现的升级框架(The Update Framework,TUF)密切相关。在TUF 框架下,当发布者将镜像上传到远程仓库后,Docker 会利用私钥对镜像进行签名。之后,当下载该镜像时,Docker 会利用发布者的公钥来校验该镜像是否和发布者所发布的镜像一致,从而判断镜像是否被篡改过或者是否为最新版。

基于TUF,Docker 在1.8 版本中引入了内容可信(Docker Content Trust)的特性。YubiKey 正是在内容可性框架的基础上,实现了容器的自动签名。开发人员或者系统管理员可以把 YubiKey 4 插入到笔记本电脑或者工作站中,从而将其独特的签名上传到容器中。当代码在工作流中移动时,该签名保证了只有经过授权的人员可以访问代码,大大提高代码的安全性。此外,YubiKey 本身采用了指纹识别技术来保证该 USB 设备自身的安全。

其次,Docker 添加了对 Docker Hub 中镜像文件的扫描工作。具体而言,Docker 会定期的将检查表项和美国国土安全部更新的公共漏洞数据库进行比对。一旦出现匹配,Docker 就会针对该镜像发出警告。这样,用户在使用该镜像时会更加谨慎,避免安全威胁;镜像贡献者也会警惕存在的漏洞,尽快进行修复。

最后,最新的 Docker 1.9 实验版本增加了对用户名字空间的支持。以往,容器都拥有宿主机的 root 用户访问权限。通过使用 Linux 的名字空间,Docker 剥离了容器的该访问权限——只有 Docker daemon 进程拥有 root 权限,而且只有若干授权的系统管理员可以访问 daemon。这样,IT 部门就可以给予企业内部不同部门或者团队不同的访问控制权,提高整个工作流的安全。


感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。

2015-11-19 18:002941
用户头像

发布了 268 篇内容, 共 126.9 次阅读, 收获喜欢 24 次。

关注

评论

发布
暂无评论
发现更多内容

这款神器大大提升了协作效率!

Liam

后端 Jmeter Postman swagger Mock

让我们开始使用 Amazon Lambda

亚马逊云科技 (Amazon Web Services)

Serverless 云原生 亚马逊云科技 云技能

5. 堪比JMeter的.Net压测工具 - Crank 实战篇 - 接口以及场景压测

MASA技术团队

C# .net 微软 测试 压测

QIP 25周年

亚马逊云科技 (Amazon Web Services)

量子计算 量子技术 量子纠错

【Zeekr_Tech】汽车软件RTOS-之AUTOSAR OS多核控制简介

Zeekr_Tech

Linux 软件架构

linux之iconv命令

入门小站

Linux

hyengine - 面向移动端的高性能通用编译/解释引擎

阿里巴巴终端技术

编译 移动端 引擎

一文带你使用 Apache IoTDB 系统监控模块

Apache IoTDB

科创人·富士康CDO史喆:To B产品切忌臃肿,数字化不分对错只求更好

科创人

教你用ab命令进行并发与压力测试

华为云开发者联盟

并发 压力测试 ab测试 ab命令 请求次数

知识管理的目的及意义——提高社会资源的配置效率

小炮

知识管理

TASKCTL ETL作业类型的插件与维护管理

敏捷调度TASKCTL

kettle 元数据 ETL 自动化运维 调度任务

“东数西算”超级工程利好云计算,多云管理背后却暗藏汹涌!

行云管家

云计算 多云 东数西算 云管

计算机存储层次简析

懒时小窝

计算机基础

从容器化到资源池化,数栈云原生技术实践探索之路

袋鼠云数栈

大数据 flink 云原生 k8s

JS/TS项目里的Module都是什么?

华为云开发者联盟

js Module loaders bundlers

免费下载|KubeMeet 城市站实录合辑,N 场容器开源分享打包看

阿里巴巴云原生

Prime Video 如何使用机器学习来确保视频质量

亚马逊云科技 (Amazon Web Services)

计算机视觉 Amazon Prime Video WACV

IoTDB 服务绍兴安瑞思90%业务,助其提升百倍查询速度

Apache IoTDB

在线字节转换工具

入门小站

工具

YonMaster开发者认证线上赋能培训班定档4月18日

YonBuilder低代码开发平台

MSE 微服务治理发布企业版,助力企业构建完整微服务治理体系

阿里巴巴云原生

使用 Sanic 框架进行 Python Web 开发

宇宙之一粟

Python 4月月更 sanic

Redis是怎样通讯的?

ooooooh灰灰

redis 后端 协议 4月月更

易观分析:三大协会发声NFT,未来监管走向几何?

易观分析

区块链 NFT

在线CSV转SQL工具

入门小站

工具

2022年提高远程工作效率的三大实用技巧汇总

行云管家

远程办公 居家办公 办公软件

好的测试数据管理,到底要怎么做?

禅道项目管理

测试 数据 数据管理

五大应用示范,为社区/企业防疫管理减负提效

明道云

WeTest平台产品&技术合作伙伴招募

WeTest

一文读懂 TsFile

Apache IoTDB

Docker新增三大功能特性,增强容器安全_语言 & 开发_张天雷_InfoQ精选文章