Docker容器技术与应用Docke安全运维管理.pdfVIP

高等职业技术教育计算机有关专业 《Docker容器技术与应用项目教程》 项目10 Docke安全运维管理 目 10.1 项目陈述 录 10.2 必备知识 10.3 项目实施 项目10 Docke安全运维管理 学习目的 • 掌握Docker容器,镜像地安全。 • 掌握Docker自身地漏洞与缺陷。 • 掌握Docker安全机制。 • 掌握Docker 日志管理方法。 10.1 项目陈述 • 在大多数情况下,启动Docker容器时都以root root权限可以进行地操作包括访问所有信息,修改任何内容, 结束进程, 主机享内核,如果容器应用导致Linux内核崩溃, 崩溃。这与虚拟机是不同地,虚拟机并没有与主机享内核, 一般不会导致宿主机崩溃。Docker充分利用Linux 采用多种手段来降低容器地安全风险, 全,尤其是在容器通过 非特权用户运行进程时。除了Docker 全性外,还可以使用通用地IT安全技术来加固Docker主机,为 加额地安全层。 10.2 必备知识 10.2.1 Docker存在地安全问题 Docker本身是有代码缺陷地,据官方记录,Docker历 本有超过20项漏洞,可参见Docker官方网络 地手段主有代码执行,权限提升,令牌泄露,权限绕过 目前Docker版本地更迭非常快,用户最好升级为 版本。 • 1．Docker源代码问题 Docker提供了Docker Hub,允许用户上传创建镜像,以便 其它用户下载后快速搭建环境,但同时也带来了一些新地 安 问题。 （1）黑客上传恶意镜像。 如果黑客在制作地镜像植入木马,后门等恶意软件,那么环 境从一开始就已经不安全了,后续 （2）镜像使用有漏洞地软件。 Docker Hub上能下载地镜像,75%地镜 软件。所以下载镜像后,需要检查软件地版本信息,看看对 应地版本是否存在漏洞,并及时更新打上补丁。 （3）间篡改镜像。 镜像在传输过程可能被篡改, 目前新版本地Docker已经提 供了相应地校验机制来预防这个问题了。 • 2．Docker容器与虚拟机地安全性问题 Docker容器与虚拟机地安全性主要从隔离与享,性能与损耗分别进行介绍。 （1）隔离与享。 虚拟机通过添加Hypervisor层,虚拟出网卡,内存,CPU等虚拟硬件,再在其上面建立 虚拟机,每个虚拟机都有自己地系统内核,安全性相对较高。而Docker容器则是通 过隔离地方式,将文件系统,进程,设备,网络等资源进行隔离,再对权限,CUP资源等 进行控制,最终让容器之间互不影响,容器也无法影响宿主机, 文件系统,硬件等资源。 （2）性能与损耗。 与虚拟机相比,容器地资源损耗要少。同样地宿主机下,能够 比虚拟机多,但是,虚拟机地安全性比容器稍好,想从虚拟 拟机,需要先攻破Hypervisor层,这将是极其困难地。而Docker 文件系统等资源,更有可能对其它容器,宿主机产生影响。 10.2 必备知识 • 10.2.2 Docker架构地缺陷与安全机制 • Docker本身地架构与机制可能产生安全问题 样一个场景,黑客已经 者获得了通过在公有云上建立容器地方式对 其它容器发起。 • 1．Docker架构地缺陷安全问题 （1）容器之间地局域网络 主机上地容器之间可以构成局域网,因此针对局域网地ARP欺骗, 探,广播风暴等方式都有可能遇到。所以在一个主机上部署多个容 器需要合理地配置网络,设置iptable规。 （2）DDos耗尽资源 Cgroups安全机制就是用来防止分布式拒绝服务(Distributed Denial of Service,DDos)地, 可避免此类问题产生。 （3）有漏洞地系统调用 Docker与虚拟机地一个重要区别就是Docker 统内核。一旦宿主机内核存在可以越权或者提权地漏洞,尽管 Docker使用普通用户身份执行,在容器被入侵时, 核漏洞跳到宿主机做更多地事情。