2015 年 11 月 16~17 日,在巴塞罗那举行的欧洲 DockerCon 上,Docker 宣布了一系列新的安全增强。这些增强功能包括容器镜像的硬件签名、镜像内容扫描和漏洞检测、用户细粒度的访问控制策略等。
三个月之前,当 Docker 发布 1.8 版本时,顺带介绍了 Docker Content Trust 功能。在这次欧洲 DockerCon 期间,Docker 宣布通过使用 YubiKey 在其 Docker Content Trust 框架上实现了硬件签名机制。Docker 与 Yubico 公司联合开发了一款可触摸硬件,来确保对容器镜像进行签名时的交互验证。这样一来,Docker 开发者、系统管理员以及第三方 ISV 能够在产品开发初期和后续更新阶段对其进行数字签名。
此外,Docker 还在此次的欧洲 DockerCon 上宣布了容器用户命名空间的可用性,允许容器和 Docker 守护进程之间拥有不同的权限。这意味着容器本身没有访问其宿主机的权限,但是 Docker 守护进程是可以的。
Docker 总结道,IT 运维团队现在可能已经实现了对每个 Dockerized 服务更细粒度的访问控制。Docker 在一份媒体备忘录中解释说,新特性的另一个结果是能够有效地阻止一个团体控制另外一个团体的应用服务权限。
第三个主要的安全公告是 Docker 镜像扫描和漏洞检测。现在,Docker 公司已经完成了所有的官方发行版扫描并签名,企业可以把这些结果提供给 ISV 和 Docker 用户。因此,ISV 可以修复任何容器缺陷以提升其安全配置,Docker 用户也能够创建一个完整的镜像内容。Docker 在不同的安全活动中都反复强调有一个镜像库智囊团是多么的重要。
Docker 镜像签名和用户命名空间是将在 Docker 实验性 和 Notary 0.1 中启用的新特性,而镜像扫描和漏洞检测功能已经包含在 Docker Hub 所有的官方发行版中。
Docker 安全主管 Nathan McCauley 在题为《理解 Docker 安全》的演讲中深入分析了 Docker 安全的四条主线:控制策略、源头、身份验证和漏洞。
在周一的欧洲 DockerCon 开幕式上,Docker 为每一位参会者提供了一个 Yubikey。此外,Docker 在其官方博客上发表了一篇怎么使用 Docker Content Trust 框架为 Docker 镜像签名的简单教程。
评论