Docker 涉密信息管理介绍(不收藏绝对会后悔)

最新推荐文章于 2024-07-14 22:39:43 发布
最新推荐文章于 2024-07-14 22:39:43 发布
阅读量925 收藏 1
点赞数
分类专栏: java 文章标签: Java 编程语言 软件 技术

容器正在改变我们对应用程序和基础设施的看法。无论容器内的代码量是大还是小,容器架构都会引起代码如何与硬件相互作用方式的改变 —— 它从根本上将其从基础设施中抽象出来。对于容器安全来说,在 Docker 中,容器的安全性有三个关键组成部分,它们相互作用构成本质上更安全的应用程序。

构建更安全的应用程序的一个关键因素是与系统和其他应用程序进行安全通信,这通常需要证书、令牌、密码和其他类型的验证信息凭证 —— 通常称为应用程序涉密信息secrets。我们很高兴可以推出 Docker Secrets,这是一个容器原生的解决方案,它是加强容器安全的可信赖交付Trusted Delivery组件,用户可以在容器平台上直接集成涉密信息分发功能。

有了容器,现在应用程序是动态的,可以跨越多种环境移植。这使得现存的涉密信息分发的解决方案略显不足,因为它们都是针对静态环境。不幸的是,这导致了应用程序涉密信息管理不善的增加,在不安全的、土造的方案中(如将涉密信息嵌入到 GitHub 这样的版本控制系统或者同样糟糕的其它方案),这种情况十分常见。

Docker 涉密信息管理介绍

根本上我们认为,如果有一个标准的接口来访问涉密信息,应用程序就更安全了。任何好的解决方案也必须遵循安全性实践,例如在传输的过程中,对涉密信息进行加密;在不用的时候也对涉密数据进行加密;防止涉密信息在应用最终使用时被无意泄露;并严格遵守最低权限原则,即应用程序只能访问所需的涉密信息,不能多也不能不少。

通过将涉密信息整合到 Docker 编排,我们能够在遵循这些确切的原则下为涉密信息的管理问题提供一种解决方案。

下图提供了一个高层次视图,并展示了 Docker swarm 模式体系架构是如何将一种新类型的对象 —— 一个涉密信息对象,安全地传递给我们的容器。

Docker 涉密信息管理介绍(不收藏绝对会后悔)

Java

Docker Secrets Management

在 Docker 中,涉密信息是任意的数据块,比如密码、SSH 密钥、TLS 凭证,或者任何其他本质上敏感的数据。当你将一个涉密信息加入 swarm 集群(通过执行 docker secret create )时,利用在引导新集群时自动创建的内置证书颁发机构[1],Docker 通过相互认证的 TLS 连接将密钥发送给 swarm 集群管理器。

$ echo "This is a secret" | docker secret create my_secret_data -

一旦,涉密信息到达某个管理节点,它将被保存到内部的 Raft 存储区中。该存储区使用 NACL 开源加密库中的 Salsa20、Poly1305 加密算法生成的 256 位密钥进行加密,以确保从来不会把任何涉密信息数据写入未加密的磁盘。将涉密信息写入到内部存储,赋予了涉密信息跟其它 swarm 集群数据一样的高可用性。

当 swarm 集群管理器启动时,包含涉密信息的加密 Raft 日志通过每一个节点独有的数据密钥进行解密。此密钥以及用于与集群其余部分通信的节点 TLS 证书可以使用一个集群级的加密密钥进行加密。该密钥称为“解锁密钥”,也使用 Raft 进行传递,将且会在管理器启动的时候使用。

当授予新创建或运行的服务权限访问某个涉密信息权限时,其中一个管理器节点(只有管理器可以访问被存储的所有涉密信息)会通过已经建立的 TLS 连接将其分发给正在运行特定服务的节点。这意味着节点自己不能请求涉密信息,并且只有在管理器提供给他们的时候才能访问这些涉密信息 —— 严格地控制请求涉密信息的服务。

$ docker service create --name="redis" --secret="my_secret_data" redis:alpine

未加密的涉密信息被挂载到一个容器,该容器位于 /run/secrets/<secret_name> 的内存文件系统中。

Docker 涉密信息管理介绍(不收藏绝对会后悔)

Java

如果一个服务被删除或者被重新安排在其他地方,集群管理器将立即通知所有不再需要访问该涉密信息的节点,这些节点将不再有权访问该应用程序的涉密信息。

Docker 涉密信息管理介绍(不收藏绝对会后悔)

Java

查看 Docker Secret 文档[2]以获取更多信息和示例,了解如何创建和管理您的涉密信息。同时,特别感谢 Laurens Van Houtven[3] 与 Docker 安全和核心团队合作使这一特性成为现实。

通过 Docker 更安全地使用应用

Docker 涉密信息旨在让开发人员和 IT 运营团程序队可以轻松使用,以用于构建和运行更安全的应用程序。它是首个被设计为既能保持涉密信息安全,并且仅在特定的容器需要它来进行必要的涉密信息操作的时候使用。从使用 Docker Compose 定义应用程序和涉密数据,到 IT 管理人员直接在 Docker Datacenter 中部署的 Compose 文件,涉密信息、网络和数据卷都将加密并安全地与应用程序一起传输。

java学习QQ1638812475
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker secret管理敏感数据及普通服务配置项--简单篇
山不转的博客
04-16 2034
特别提示:本文使用docker最新版本docker-18.04.0-CE,版本太旧可能不支持本文演示的功能。参考文档:https://docs.docker.com/engine/swarm/secrets/什么是docker secret?        敏感数据包括密码、私钥、证书及其它所有不能以明文的形式在网络上传输,或者是不能保存在各种文件中的数据,例如Dokerfile、image等。从...
Docker 教程之数据管理详细介绍
09-30
主要介绍Docker 教程之数据管理详细介绍的相关资料,需要的朋友可以参考下
docker secret
fanxl10的专栏
11-12 407
创建docekr secret 从文件password中创建my-pw的docker secret docker secret create my-pw password 从键盘输入创建 echo &quot;admin&quot; | docker secret create my-pw2 - 查看创建的docker secret docker secret ls 删除docker secret ...
DockerSecret+DockerConfig介绍及使用
最新发布
qq_45371023的博客
07-14 300
DockerSecret+DockerConfig介绍及使用
Docker Secrets
weixin_30847271的博客
04-19 325
一、简介   在微服务架构应用中,众多组件在集群中动态地创建、伸缩、更新。在如此动态和大规模的分布式系统上,管理和分发密码、证书等敏感信息将是非常具有挑战性的工作。对于容器应用,传统的秘密分发方式,如将秘钥存放在容器镜像中,或是利用环境变量,volume动态挂载方式动态传入都存在着潜在的安全风险。   为了应对这个问题,在Docker 1.13及更高版本中,Docker推出了Secrets管...
Docker系列】 Docker secrets
柏杉的博客小屋
01-27 1961
secrets 敏感数据保护。例如:密码,key,证书等用Secret保护。 官方文档地址:https://docs.docker.com/engine/swarm/secrets/ 创建secret (有两种方式) 从标准的收入读取 $ echo abc123 | docker secret create mysql_pass - 4nkx3vpdd41tbvl9qs24j7m6w $ docker secret ls ID NAME D
Docker Secret加密
恋恋风辰的技术博客
12-22 1839
Docker Secret 在我们启动docker或者service需要指定密码,这种密码我们有时不想被别人知道,所以可以采用docker secret方式管理。 创建secret可以有两种方式,一种通过文件创建,一种通过命令行创建 我们在本地创建一个文件passwd zack1024 接下我们可以通过如下命令创建secret docker secret create my-pw passwd 运行后可以看到屏幕输出如下 qq463dkw4da9s05rwinntmo09 这是一
详解Docker退出容器不关闭容器的方法
09-30
本篇文章将详细介绍如何在退出Docker容器时不让容器关闭,以及与之相关的Docker命令和操作技巧。 首先,当我们通过docker run命令启动容器并进入其内部,如使用交互式模式“docker run -it”,默认情况下输入exit...
docker的文档,介绍docker以及如何使用
05-17
Docker 引擎:运行和管理容器的运行时。 Docker Image:一个只读模板,其中包含创建 Docker 容器的说明。 通常,一个图像基于另一个图像,带有一些额外的定制。 Docker 容器:图像的可运行实例。 您可以使用 Docker ...
基于kubernetes构建Docker集群管理详解
03-03
Kubernetes是Google开源的容器集群管理系统,基于Docker构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩缩容等功能套件,目前最新版本为0.6.2。本文介绍如何基于Centos7.0构建Kubernetes平台,在...
Docker网络基础介绍
02-26
Docker网络基础介绍技术分享第1张想要了解有关Docker网络的更多信息,包括多主机网络介绍,请查看本文作者MichaelHausenblas撰写的报告——《Docker网络与服务探索》,点此下载该报告。当你开始扩大Docker的应用范围...
Docker中保护敏感数据
culuo8053的博客
08-08 294
Developing authentication code foropen source repositories can be a scary task; you're scared that hackers canfind loopholes in your code but you're also petrified of accidentally committing sen...
『中级篇』Docker-Secret管理和使用(51)
IT架构圈博客
09-01 437
原创文章,欢迎转载。转载请注明:转载自IT人故事,谢谢! 原文链接地址:『中级篇』Docker-Secret管理和使用(51) 之前咱们写的docker-compose.yml里面,里面有mysql的时候有变量MYSQL_ROOT_PASSWORD: root,如果别人拿到了这个文件直接root是不是就暴露了,很不安全,针对这个问题,docker-sec...
docker管理mysql风险_管理敏感数据
weixin_39574869的博客
02-01 97
在 Swarm 集群中管理敏感数据在动态的、大规模的分布式集群上,管理和分发 密码、证书 等敏感信息是极其重要的工作。传统的密钥分发方式(如密钥放入镜像中,设置环境变量,volume 动态挂载等)都存在着潜在的巨大的安全风险。Docker 目前已经提供了 secrets 管理功能,用户可以在 Swarm 集群中安全地管理密码、密钥证书等敏感数据,并允许在多个 Docker 容器实例之间共享访问指定...
more .mysql secret_Docker Secret的管理和使用
weixin_30999777的博客
01-27 394
一、什么是Docker Secret(一)情景展现我们知道有的service是需要设置密码的,比如mysql服务是需要设置密码的:version: '3'services:web:image: wordpressports:- 8080:80volumes:- ./www:/var/www/htmlenvironment:WORDPRESS_DB_NAME=wordpressWORDPRESS_D...
Docker学习第十二天——ConfigureMap(明文)与Secret(密文)
qq_39637333的博客
05-16 546
• configureMap是一种API对象,用于将非加密数据保存到键值对中,可以用作环境变量、命令行参数或者存储卷中的配置文件。• ConfigMap可以将环境变量配置信息和容器镜像解耦,便于应用配置的修改。如果需要存储加密信息时可以使用Secret对象。k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。
15-Docker Secret管理和使用
HJ的技术博客
01-16 1027
Docker Secret管理和使用1. 什么secret2. Docker Swarm Mode Architecture3. secret management 1. 什么secret 用户名密码 SSH Key TLS认证 任何不想让别人看到的数据 2. Docker Swarm Mode Architecture secret在docker中是如何管理的呢?重温一下这个图: dock...
Docker(二十)--Docker k8s--Kubernetes存储--Secret配置管理
qwerty1372431588的博客
02-25 356
Secret配置管理1. 简介2. 配置2.1 默认secret2.2 简单操作2.3 将Secret挂载到Volume,向指定路径映射secret密钥2.4 将Secret设置为环境变量2.5 拉取未公开仓库镜像 1. 简介 - Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 - 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 - Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod
查看 Secret - 每天5分钟玩转 Docker 容器技术(156)
jj1130050965的博客
12-07 172
查看 Secret - 每天5分钟玩转 Docker 容器技术(156) 原创CloudManCloudMan2018-04-18 第156篇 查看 Secret 可以通过kubectl get secret查看存在的 secret。 显示有两个数据条目,kubectl describe secret查看条目的 Key: 如果还想查看 Value,可以用kubectl edit secret mysecret: 然后通过 base64 将 Value 反编码: ...
docker 涉密信息系统
09-09
Docker是一种开源的容器化平台,它能够帮助开发者和系统管理员在基于Linux或Windows操作系统的主机上自动部署、运行和管理应用程序。然而,在处理涉密信息系统时,我们必须考虑以下几个方面: 首先,对于涉密信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值