基于Docker技术安全性研究综述.docVIP

基于Docker技术安全性研究综述 　　【摘要】 　　Docker是一种基于Linux内核的开源容器引擎，其关键技术主要有两个方面：一是Linux容器方面的技术；二是Docker镜像技术。所以Docker技术的安全性取决于保障容器安全的安全机制和Docker镜像的安全。主要从Docker所依赖的安全机制及Docker镜像安全两个方面来阐述Docker技术的安全性能。 　　【关键词】Docker；安全机制；镜像；安全性 　　引言 　　Docker是一种基于Linux内核的开源容器引擎，能够实现操作系统级别的虚拟化。自2013年诞生以来，Docker凭借其轻量、快速以及“application-centric”的概念迅速成为IT界的宠儿，并逐步在DevOps领域大展身手。 　　Docker能够提供轻便高效的虚拟环境，让运维人员无须考虑系统环境而专注于隔离的进程，大大降低管理成本及开发人员的交付成本。面对Docker所潜藏的巨大商业价值，美团、京东等商业巨头都纷纷向Docker迁移。如果使用Docker时安全策略不当时，可能会使系统处于安全威胁之下。因此Docker安全性是影响其能否应用于生产环境的关键因素。 　　1.Docker简介 　　Docker是一种基于LXC的操作系统级的虚拟化技术，能够实现秒级启动含有较完备隔离环境的容器。在提倡开发与运维协调并进的今天，Docker成为DevOps潮流中引人注目的法宝。Docker整合了联合文件系统的优势推出独树一帜的镜像技术来打包系统环境和软件程序，实现应用程序和所依赖的运行环境的灵活结合。以镜像的转移、重构实现开发、运维的环境一致，从而为开发者和系统管理者提供了分布式应用的开放平台来便捷地构建、迁移与运行分布式应用。 　　Docker是基于Go语言编写的云开源项目，并遵循了Apache2.0协议。如今的Docker可谓是备受青睐，例如微软、IBM、Google等云服务提供商都已经支持Docker。在国内，更大企业也逐步向Docker迁移，例如我们熟悉的京东、迅雷、美团等。 　　2.Docker安全性 　　Docker直接复用本地主机的操作系统，运行在容器中的进程与运行在本地主机的进程几乎没什么差别，因此采用的安全策略不恰当可能会使本地主机处于安全威胁之下。由于Docker的关键技术主要有两个方面：一是Linux容器方面的技术，二是Docker镜像的技术。因此下文主要从Docker所依赖的安全机制和Docker镜像安全这两方面进行安全性分析。 　　2.1 Docker所依赖的安全机制 　　2.1.1Linux命名空间（Namespace） 　　Namespace用于实现操作系统的资源隔离，为进程提供不同的命名空间视图。Namespace隔离的资源包括进程在运行期间所依赖的周边环境和所访问文件系统，例如网络系统、IPC资源等等。过去由于容器内部的root和宿主机上的root的UID都是一致，意味着若一个容器被攻破并进行权限提升攻击，便会危及宿主机及其他容器的安全。而在今年二月推出的Docker 1.10.0当中，Docker完成了对User Namespace的支持，解决了上述问题。这可以说是Docker在安全性方面到达的一个里程碑。User Namespace能够在保证用户在容器内拥有root权限的前提下，利用UID：GID保证对应的用户/群组在容器之外处于非root状态，从而区分开主机root用户和容器root用户。 　　截止到目前，Docker已经完成对6个Namespace的支持，分别是PID Namespace、IPC Namespace、Network Namespace、MNT Namespace、UST Namespace和USER Namespace。分别实现了进程隔离、管理进程间通信资源、管理网络接口、管理挂载点、隔离内核和版本标识、管理用户组。 　　2.1.2Linux控制组资源控制（Cgroups） 　　拒绝服务（DDoS）是一种在多租户系统中最常见的攻击，一个进程或一组进程试图消耗系统的所有资源，从而扰乱正常其他进程的操作。为了防止这种攻击，应该尽可能地限制被分配给每个容器的资源。 　　Cgroups便是Docker用于处理这一问题的关键，它负责实现资源的审计和控制，以确保每个容器可以公平地分享资源并防止任何一个容器消耗掉所有资源。同时也允许Docker对系统资源进行相关配置再分配给每个容器。这项机制在多租户平台上尤其重要，例如在某些容器出现异常的时候，可以保证本地主机和其他容器不受干扰。 　　2.1.3Linux内核能力机制（Capability） 　　能力机制（Capability）是Linux内核本身支持的安全特性