2017年Docker安全实践探索.pdf

1、Docker安全实践探索Docker面临的安全挑战容器是应用层的一个抽象，它将代码和依赖项集成在一起。多个容器可以在同一台机器上运行，并与其他容器共享操作系统内核，每个容器都以用户空间中的隔离进程运行。容器占用的空间少于虚拟机（容器映像的大小通常为几十MB），几乎立即启动。虚拟机（VM）是将一个服务器转换为许多服务器的物理硬件的抽象。虚拟机管理程序允许多个虚拟机在单个计算机上运行。每个虚拟机包括操作系统的完整副本，一个或多个应用程序，必要的二进制文件和库-占用数十GB。VM也可能启动缓慢。Docker VS VmDocker面临主要攻击方式图片来源：趋势科技Gartner研究结果Gartner

2、在2017年确定了最高安全技术Gartner公司今天突出介绍了信息安全的顶级技术及其对安全组织的影响。分析师在Gartner安全与风险管理峰会期间介绍了的研究结果。容器安全容器使用共享操作系统（OS）模型。对主机操作系统中的漏洞的攻击可能导致所有容器的妥协。容器本身并不安全，但由开发人员以不安全的方式部署，安全团队很少或根本没有参与，安全架构师也没有指导。传统的网络和基于主机的安全解决方案对容器是无视的。集装箱安全解决方案保护集装箱的整个生命周期不被创造到生产，而大多数集装箱安全解决方案提供了预生产扫描和运行时监控和保护。http:/ Dockerfile:用于创建image镜像的模板文件 I

3、mage:镜像文件，对比PC端的概念，我们可以把它理解为服务器端的可执行软件包。一旦打包生成，如存在安全问题，那这些问题也被一并打包，最后导致安全事件 Container：运行起来的image文件就是容器了，从外来看就是一个应用，可对外提供服务了Docker在实际环境中的应用DockerfileImageContainerbuildrun代码库代码库镜像仓库镜像仓库OS开发/测试环境生产环境非生产环境中保证镜像安全可信 生产环境中保证镜像正确的运行保证Docker镜像的安全镜像文件简介Docker镜像是由文件系统叠加而成。最底层是bootfs，之上的部分为rootfs。Bootfs是docke

4、r镜像最底层的引导文件系统，包含bootloader和操作系统内核。Rootfs通常包含一个操作系统运行所需的文件系统。这一层作为基础镜像。在基础镜像之上，会加入各种镜像，如apache等。对镜像进行静态安全扫描https:/ Content TrustDocker 1.8版本 后支持内容信任的安全效果防止镜像伪造防止镜像伪造防止重放攻击防止重放攻击防止秘钥丢失防止秘钥丢失如何使用内容信任#export DOCKER_CONTENT_TRUST=1启用内容信任#export DOCKER_CONTENT_TRUST_SERVER=https:/notaryserver:4443指定验证服务器地

5、址NotaryNotary是是dockerdocker一个一个官方内容公证服务器项目官方内容公证服务器项目，利用，利用TUFTUF实现对内容的可信实现对内容的可信验证验证GIT:https:/ push/trusttest:testingThe push refers to a repository docker.io/trusttest(len:1)9a61b6b1315e:Image already exists 902b87aaaec9:Image already exists latest:digest:sha256:d02adacee0ac7a5be140adb94fa1dae64f

6、4e71a68696e7f8e7cbf9db8dd49418 size:3220 Signing and pushing trust metadata You are about to create a new root signing key passphrase.This passphrase will be used to protect the most sensitive key in your signing system.Please choose a long,complex passphrase and be careful to keep the password and