本文探讨了Docker容器与虚拟机的区别,强调了Docker存在的安全问题,包括自身漏洞、源码问题和架构缺陷。针对这些问题,提出了Docker的安全基线标准,涉及内核、主机、网络、镜像、容器等多个层面的防护措施,旨在帮助用户保障Docker环境的安全。
一、Docker 容器与虚拟机的区别
1.隔离与共享
■虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。
而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
2.性能与损耗
■与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的安全性要比容器稍好,
要从虚拟机攻破到宿主机或其他虚拟机,需要 先攻破 Hypervisor 层,这是极其困难的。而 docker 容器与宿主机共享内核、文件系统等资源,更有可能对其他容器、宿主机产生影响。
二、Docker 存在的安全问题
- Docker 自身漏洞
■作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。
■黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docker 升级为 最新版本。
- Docker 源码问题
■Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭 建环境。但同时也带来了一些安全问题。例如下面三种方式:
(1)黑客上传恶意镜像 如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言。
(2)镜像使用有漏洞的软件 Doc
最低0.47元/天 解锁文章
1395
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
