应用程序跑在Docker容器中会更安全

作者：Nathan McCauley 译者：廖煜

    Docker对安全的支持是与生俱来的。作为一个平台，Docker为跑在其中的所有应用程序提供安全保障，不需要在Docker之外，单独部署一套安全解决方案。

   目前，Docker Engine支持Linux Kernel中的所有功能。不仅如此，Docker还为用户提供了默认的安全配置，提供一种简单的用户体验。这些默认的安全配置可以为跑在Docker Engine中的应用程序提供更全面的保护，保障跑在容器中的应用程序更安全。当然，管理员可以根据自己的环境，修改和定制这些配置，设计出自己的安全方案。

   最近两家第三方独立机构评估了Docker Engine使用默认配置时的安全性，以下是相关报告。

   Gartner的分析师Joerg Fritsch最近在他的博客中发布了一篇文章，题目是How to Secure Docker Containers in Operation。其中提到：

“Gartner声称应用程序跑在容器中比直接跑在操作系统中更安全。即使容器崩溃了，造成的危害也是有限的。因为应用程序以容器为单位，被相互隔离开来。一个容器出错，不会影响其他容器中的应用程序，也不会影响宿主机上的应用程序。”
NCC也发布了一份白皮书，题目是Understanding and Hardening Linux Containers，对比了目前各种容器技术的安全性，包括LXC、Docker和CoreOS。测试内容涵盖攻击范围、威胁程度、以及相关的防护功能，并对比了各种容器技术使用的默认配置和推荐配置。该白皮书中提到的一个结论值得注意，在容器中运行应用程序时，添加某些推荐配置会更安全。

“容器技术具有许多优点。从安全方面来说，容器技术创造了一种新的防护方法。通过这种方法可以减少攻击范围，并通过隔离技术，使每个应用程序仅仅暴露需要的组件、接口、函数库和网络连接。”
“技术发展到现在，我相信没有借口不把Linux应用程序跑在容器中。”
– Aaron Grattafiori, NCC Group
下图描述了三种主流容器技术的安全评估结果。其中，Docker Engine的默认配置安全性最强。

   Docker提出的默认安全概念包括了平台安全、内容安全和访问安全，为企业提供了一套先进的软件支持链，从根本上保证安全。Docker使用Linux的各种隔离技术，建立起一套安全框架。Docker Datacenter也发布了一系列增强功能，包括应用程序扫描、签名、基于角色的访问权限控制（Role Based Access Control）和集群配置安全等，这些功能保证了整个软件生命周期的安全。

   一些领先的企业也开始使用Docker Datacenter提供的服务，帮助加强自身容器的安全性，比如世界最大的人力资源、HR业务流程外包解决方案提供商-ADP。这些企业为百万雇主管理他们员工的财务信息，已经使用容器处理支票，管理收益和存储敏感数据等。