Docker容器安全性解决方案.pdf

Docker 容器安全性解决方案 1 目录 一、从虚拟化安全到容器安全 3 1、传统虚拟化技术 3 2、容器技术 3 二、 Docker 容器安全风险分析 7 1、镜像安全风险 7 2、容器虚拟化安全风险 10 3、网络安全风险 13 三、 Docker 容器安全机制与解决方案 16 1、容器虚拟化安全 16 3、容器网络安全 27 四、总结 30 2 Docker 是目前最具代表性的容器技术之一，对云计算及虚拟化技术产生了颠覆性的影响。本 文对 Docker 容器在应用中可能面临的安全问题和风险进行了研究，并将 Docker 容器应用环 境中的安全机制与相关解决方案分为容器虚拟化安全、容器安全管理、容器网络安全三部分进 行分析。 一、从虚拟化安全到容器安全 1、传统虚拟化技术 虚拟化技术是实现硬件基础设施资源的充分利用、合理分配和有效调度的重要技术手段。例如， 在基于 OpenStack 的典型 IaaS 服务中，云服务提供商可通过搭建设备集群建立资源池，并将 服务器、存储和网络等底层资源进行弹性虚拟化提供给租户。 传统虚拟化技术以虚拟机为管理单元，各虚拟机拥有独立的操作系统内核，不共用宿主机的软 件系统资源，因此具有良好的隔离性，适用于云计算环境中的多租户场景。 2、容器技术 容器技术可以看作一种轻量级的虚拟化方式，将应用与必要的执行环境打包成容器镜像，使得 应用程序可以直接在宿主机（物理机或虚拟机）中相对独立地运行。容器技术在操作系统层进 行虚拟化，可在宿主机内核上运行多个虚拟化环境。相比于传统的应用测试与部署，容器的部 署无需预先考虑应用的运行环境兼容性问题；相比于传统虚拟机，容器无需独立的操作系统内 核就可在宿主机中运行，实现了更高的运行效率与资源利用率。 3 Docker 是目前最具代表性的容器平台之一，它模糊了传统的 IaaS 和 PaaS 的边界，具有持续 部署与测试、跨云平台支持等优点。在基于 Kubernetes 等容器编排工具实现的容器云环境中， 通过对跨主机集群资源的调度，容器云可提供资源共享与隔离、容器编排与部署、应用支撑等 功能。 Docker 容器技术以宿主机中的容器为管理单元，但各容器共用宿主机内核资源，分别通过 Linux 系统的 Namespaces 和 CGroups 机制实现资源的隔离与限制。 1、 Namespaces 为了保证容器进程之间的资源隔离，避免相互影响和干扰，Linux 内核的 Namespaces （命名 空间）机制提供了 UTS、User、Mount、Network、PID、IPC 等命名空间实现了主机名、用 户权限、文件系统、网络、进程号、进程间通信等六项资源隔离功能。通过调用 clone()函数并 传入相应的系统调用参数创建容器进程，可实现对应资源内容的隔离，具体情况如表 1 所示。 表 1 ：Namespaces 隔离机制 命名空间 系统调用参数 隔离内容 Linux 内核版本 UTS CLONE_NEWUTS 主机名和域名 2.6.19 IPC CLONE_NEWIPC 信号量、信息队列和共享内存 2.6.19 PID CLONE_NEWPID 进程编号