容器与虚拟机隔离性及安全性对比研究.pdfVIP

本文由简悦SimpRead转码，原文地址

在第01“Docker安装：案例带你了解容器技术原理”中，我有介绍到Docker是基于Linux内

核的Namespace技术实现资源的，所有的容器都共享主机的内核。其实这与以虚拟机为代表的云

计算时代还是有很多区别的，比如虚拟机有着更好的性和安全性，而容器的性和安全性则相对

较弱。

在讨论容器的安全性之前，我们先了解下容器与虚拟机的区别，这样可以帮助我们更好地了解容器的安

全隐患以及如何加固容器安全。

Docker与虚拟机区别

从图1可以看出，虚拟机是通过管理系统(Hypervisor)模拟出CPU、内存、网络等硬件，然后在这些

模拟的硬件上创建客户内核和操作系统。这样做的好处就是虚拟机有自己的内核和操作系统，并且硬件

都是通过虚拟机管理系统模拟出来的，用户程序无法直接使用到主机的操作系统和硬件资源，因此虚拟

机也对性和安全性有着更好的保证。

而Docker容器则是通过Linux内核的Namespace技术实现了文件系统、进程、设备以及网络的隔

离，然后再通过Cgroups对CPU、内存等资源进行限制，最终实现了容器之间相互不受影响，由于容

器的性仅仅依靠内核来，因此容器的性也远弱于虚拟机。

你可能会问，既然虚拟机安全性这么好，为什么我们还要用容器呢？这是因为容器与虚拟机相比，容器

的性能损耗非常小，并且镜像也非常小，而且在业务快速开发和迭代的今天，容器秒级的启动等特性也

非常匹配业务快速迭代的业务场景。

既然我们要利用容器的优点，那有没有什么办法可以尽量弥补容器弱的安全性缺点呢？要了解如何

解决容器的安全问题，我们首先需要了解下容器目前存在的安全问题。

Docker容器的安全问题

(1)Docker自身安全

Docker作为一款容器引擎，本身也会存在一些安全，CVE目前已经记录了多项与Docker相关的

安全，主要有权限提升、信息等几类安全问题。具体Docker记录的安全问题可以参考这里。

CVE的百科定义：CVE是公共和（英语：CVE,CommonVulnerabilitiesand

Exposures）又称常见与披露，是一个与有关的数据库，收集各种弱点及

并给予编号以便于公众查阅。此数据库现由非营利组织MITRE所属的National

CybersecurityFFRDC所营运。

(2)镜像安全

由于Docker容器是基于镜像创建并启动，因此镜像的安全直接影响到容器的安全。具体影响镜像安全的

总结如下。

镜像软件存在安全：由于容器需要安装基础的软件包，如果软件包存在，则可能会被

分子利用并且侵入容器，影响其他容器或主机安全。

仓库：无论是Docker的镜像仓库还是我们私有的镜像仓库，都有可能被，然后篡改

镜像，当我们使用镜像时，就可能成为者的目标对象。

用户程序：用户自己构建的软件包可能存在或者被植入，这样会导致运行时提权

影响其他容器或主机安全。

(3)Linux内核性不够

尽管目前Namespace已经了非常多的资源类型，但是仍有部分关键内容没有被完全，其

中包括一些系统的关键性目录（如/sys、/proc等），这些关键性的目录可能会主机上一些关键性

的信息，让者利用这些信息对整个主机甚至云计算发起。

而且仅仅依靠Namespace的是远远不够的，因为一旦内核的Namespace被突破，使用者就有可能

直接提权获取到主机的超级权限，从而影响主机安全。

(4)所有容器共享主机内核

由于