BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

从Docker、Twistlock、CoreOS看容器安全的现状

| 作者 谢丽 关注 11 他的粉丝 发布于 2015年12月16日. 估计阅读时间: 2 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

Docker将容器变成一种商用技术以后就面临一个比较大的问题,就是如何确保容器安全。具体一点讲,安全在容器环境中包含什么内容,如何安全地访问容器以及如何确保容器内部软件不会带来安全问题,等等。随着容器技术成长为一个更加开放的生态系统(尤其在安全方面),任何一种单独的解决方案似乎都不可能解决所有这些问题。近日,InfoWorld资深作者Serdar Yegulalp分析了Docker、Twistlock、CoreOS等厂商的容器安全解决方案。

Docker一直在推动容器技术的发展,包括安全在内。在11月份举行的DockerCon欧洲大会上,该公司宣布了多项重大安全改进,其中最大的一项是支持用户命名空间。其他改进还包括允许使用Yubico硬件密钥进行容器签名,以及扫描托管在Docker官方库中的容器。

除了容器自身的安全外,在将容器部署到生产环境之前,用户还会希望知道容器内的东西是否存在已知的安全问题。Twistlock的创建目的就是扫描容器,对照CVE数据库检查容器中的软件。此外,它还会检查容器环境,比如,如果容器不应该在第一时间连接网络,那么它就会断开网络连接。

CoreOS一直支持容器,但它对Docker的做法持批评态度,尤其是在安全方面。为此,他们创建了自己的、安全优先的容器格式和运行时。前期,CoreOS宣布了类似Twistlock的漏洞扫描工具。最近,他们又宣布了一种端到端的安全解决方案“分布式可信计算(Distributed Trusted Computing)”。该方案是其企业级产品Tectonic的一部分。同Docker的Yubikey一样,它也使用了硬件密钥确保容器不会被篡改。而且,它只会启动用户同意启动的容器。此外,该方案的其中一名创建者是Matthew Garrett,他是CoreOS的首席安全工程师,同时也是一位著名的Linux开发人员,曾经创建了一种在Windows 8系统上运行Linux的方法。


感谢魏星对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者(已满),InfoQ读者交流群(#2)InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT