BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Docker新增三大功能特性,增强容器安全

| 作者 张天雷 关注 4 他的粉丝 发布于 2015年11月20日. 估计阅读时间: 3 分钟 | Google、Facebook、Pinterest、阿里、腾讯 等顶尖技术团队的上百个可供参考的架构实例!

11月16-17日,DockerCon Europe 2015在西班牙的巴塞罗那召开。在该会议中,Docker公司宣布了其对Docker平台中容器安全方面的三大改进——支持利用YubiKey进行硬件签名、对Docker Hub中的镜像开始进行安全扫描和支持用户名字空间。

首先,Docker开始支持利用YubiKey设备进行硬件签名。该USB设备与之前Docker已经实现的升级框架(The Update Framework,TUF)密切相关。在TUF框架下,当发布者将镜像上传到远程仓库后,Docker 会利用私钥对镜像进行签名。之后,当下载该镜像时,Docker会利用发布者的公钥来校验该镜像是否和发布者所发布的镜像一致,从而判断镜像是否被篡改过或者是否为最新版。

基于TUF,Docker在1.8版本中引入了内容可信(Docker Content Trust)的特性。YubiKey正是在内容可性框架的基础上,实现了容器的自动签名。开发人员或者系统管理员可以把YubiKey 4插入到笔记本电脑或者工作站中,从而将其独特的签名上传到容器中。当代码在工作流中移动时,该签名保证了只有经过授权的人员可以访问代码,大大提高代码的安全性。此外,YubiKey本身采用了指纹识别技术来保证该USB设备自身的安全。

其次,Docker添加了对Docker Hub中镜像文件的扫描工作。具体而言,Docker会定期的将检查表项和美国国土安全部更新的公共漏洞数据库进行比对。一旦出现匹配,Docker就会针对该镜像发出警告。这样,用户在使用该镜像时会更加谨慎,避免安全威胁;镜像贡献者也会警惕存在的漏洞,尽快进行修复。

最后,最新的Docker 1.9实验版本增加了对用户名字空间的支持。以往,容器都拥有宿主机的root用户访问权限。通过使用Linux的名字空间,Docker剥离了容器的该访问权限——只有Docker daemon进程拥有root权限,而且只有若干授权的系统管理员可以访问daemon。这样,IT部门就可以给予企业内部不同部门或者团队不同的访问控制权,提高整个工作流的安全。


感谢郭蕾对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者(已满),InfoQ读者交流群(#2)InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT