Docker 安全

已于 2022-04-05 23:13:41 修改
阅读量4.4k 收藏 6
点赞数 1
分类专栏: docker 文章标签: docker 系统安全
于 2022-04-04 17:55:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zoufuf666/article/details/123956101
版权

容器安全

容器安全的起源

学习docker安全前,要了解Docker 是基于 Linux 内核的 Namespace 技术实现资源隔离的,所有的容器都共享主机的内核。这方面虚拟化和容器技术是有区别的,相对来讲虚拟机有着更好的隔离性和安全性,而容器的隔离性和安全性则相对较弱。

Docker 与虚拟机区别

虚机和容器的比较
虚拟机是通过管理系统(Hypervisor)模拟出 CPU、内存、网络等硬件,然后在这些模拟的硬件上创建客户内核和操作系统。这样做的好处就是虚拟机有自己的内核和操作系统,并且硬件都是通过虚拟机管理系统模拟出来的,用户程序无法直接使用到主机的操作系统和硬件资源,因此虚拟机也对隔离性和安全性有着更好的保证。

而 Docker 容器则是通过 Linux 内核的 Namespace 技术实现了文件系统、进程、设备以及网络的隔离,然后再通过 Cgroups 对 CPU、 内存等资源进行限制,最终实现了容器之间相互不受影响,由于容器的隔离性仅仅依靠内核来提供,因此容器的隔离性也远弱于虚拟机。

容器与虚拟机相比,容器的性能损耗非常小,并且镜像功能也非常方便,在业务快速开发和迭代的今天,容器高性能和敏捷等特性也非常匹配业务快速迭代的业务场景。

Docker容器存在的安全问题

Docker engine安全

Docker 作为一款容器引擎,本身也会存在一些安全漏洞,CVE 目前已经记录了多项与 Docker 相关的安全漏洞,主要有权限提升、信息泄露等几类安全问题。具体 Docker 官方记录的安全问题可以参考这里

镜像安全

由于 Docker 容器是基于镜像创建并启动,因此镜像的安全直接影响到容器的安全。具体影响镜像安全的总结如下。

  • 镜像软件存在安全漏洞:由于容器需要安装基础的软件包,如果软件包存在漏洞,则可能会被不法分子利用并且侵入容器,影响其他容器或主机安全。
  • 仓库漏洞:无论是 Docker 官方的镜像仓库还是我们私有的镜像仓库,都有可能被攻击,然后篡改镜像,当我们使用镜像时,就可能成为攻击者的目标对象。
  • 用户程序漏洞:用户自己构建的软件包可能存在漏洞或者被植入恶意脚本,这样会导致运行时提权影响其他容器或主机安全。

Linux 内核权限安全

仅仅依靠 Namespace 的隔离是远远不够的,因为一旦内核的 Namespace 被突破,使用者就有可能直接提权获取到主机的超级权限,从而影响主机安全

如何提高容器的安全性

保障镜像安全

为保障镜像安全,我们可以在私有镜像仓库安装镜像安全扫描组件,对上传的镜像进行检查,通过与 CVE 数据库对比,一旦发现有漏洞的镜像及时通知用户或阻止非安全镜像继续构建和分发。同时为了确保我们使用的镜像足够安全,在拉取镜像时,要确保只从受信任的镜像仓库拉取,并且与镜像仓库通信一定要使用 HTTPS 协议。

加强内核安全和管理

仅仅依赖内核的隔离可能会引发安全问题,因此我们对于内核的安全应该更加重视

  • 宿主机及时升级内核版本
    宿主机内核应该尽量安装最新补丁,因为更新的内核补丁往往有着更好的安全性和稳定性。
  • 使用 Capabilities 划分权限
    Capabilities 是 Linux 内核的概念,Linux 将系统权限分为了多个 Capabilities,它们都可以单独地开启或关闭,Capabilities 实现了系统更细粒度的访问控制。

容器和虚拟机在权限控制上还是有一些区别的,在虚拟机内我们可以赋予用户所有的权限,例如设置 cron 定时任务、操作内核模块、配置网络等权限。而容器则需要针对每一项 Capabilities 更细粒度的去控制权限,例如:
cron 定时任务可以在容器内运行,设置定时任务的权限也仅限于容器内部;
由于容器是共享主机内核的,因此在容器内部一般不允许直接操作主机内核;
容器的网络管理在容器外部,这就意味着一般情况下,我们在容器内部是不需要执行ifconfig、route等命令的 。
由于容器可以按照需求逐项添加 Capabilities 权限,因此在大多数情况下,容器并不需要主机的 root 权限,Docker 默认情况下也是不开启额外特权的。
最后,在执行docker run命令启动容器时,如非特殊可控情况,privileged 参数不允许设置为 true,其他特殊权限可以使用 --cap-add 参数,根据使用场景适当添加相应的权限。

  • 使用安全加固组件
    Linux 的 SELinux、AppArmor、GRSecurity 组件都是 Docker 官方推荐的安全加固组件。

SELinux (Secure Enhanced Linux): 是 Linux 的一个内核安全模块,提供了安全访问的策略机制,通过设置 SELinux 策略可以实现某些进程允许访问某些文件。
AppArmor: 类似于 SELinux,也是一个 Linux 的内核安全模块,普通的访问控制仅能控制到用户的访问权限,而 AppArmor 可以控制到用户程序的访问权限。
GRSecurity: 是一个对内核的安全扩展,可通过智能访问控制,提供内存破坏防御,文件系统增强等多种防御形式。

使用安全容器

安全容器目前推荐的技术方案是 Kata Containers,Kata Container 并不包含一个完整的操作系统,只有一个精简版的 Guest Kernel 运行着容器本身的应用,并且通过减少不必要的内存,尽量共享可以共享的内存来进一步减少内存的开销。另外,Kata Container 实现了 OCI 规范,可以直接使用 Docker 的镜像启动 Kata 容器,具有开销更小、秒级启动、安全隔离等许多优点。
相关链接:https://github.com/kata-containers

容器云计算
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker安全
weixin_42446031的博客
06-11 415
前言 docker内部的隔离机制是通过namespace来做的,但是在Linux系统里面很多东西是不能通过namespace来隔离的,比如:时间。 容器的资源控制,而namespace把容器在我们的linux系统网络成为独立个体,并不能做资源限制,很可能一个容器上面跑了一个java程序,但是这个容器把我们的内存占用完了,那么这是不合理的。 所以一定要对docker容器的配额进行限额,资源限制。 d...
Docker-docker安全
weixin_66461008的博客
07-08 1510
1. 理解Docker安全1.1 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: • Linux内核的命名空间机制提供的容器隔离安全 • Linux控制组机制对容器资源的控制能力安全。 • Linux内核的能力机制所带来的操作权限安全Docker程序(特别是服务端)本身的抗攻击性。 • 其他安全增强机制对容器安全性的影响。1.2 命名空间隔离的安全
【转】Docker容器镜像安全最佳实践指南
tpriwwq的专栏
04-16 2049
在企业中信息系统安全与业务是同样重要, 随着传统运维方式向着容器化运维方式的转变,当下企业里通常都会采用Docker来进行容器化部署和承载业务。Docker容器安全也是重中之重, 它关乎着应用与数据安全,其中也关乎着宿主机的安全
2024年最全Docker安全
2401_84301227的博客
05-02 41
cpu_period 和 cpu_quota 这两个参数需要组合使用,用来限制进程在长度为 cpu_period 的一段时间内,只能被分配到总量为 cpu_quota 的 CPU 时间,以下设置表示20%的cpu时间。有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。退出刚才第二次启用的交互,下面我们可以加一个限制cpu的参数,重新进去,再次查看top中cpu占用情况。是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1320
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
Docker(八)---Docker安全相关设定
Gong_yz的博客
03-06 1231
本节总结:理解docker安全;cgroup如何进行容器资源控制设置;通过lxcfs,做docker安全加固;以白名单的形式,实现容器相关特权;
Docker安全:从入门到实战
01-19
主要简述Docker容器的安全知识分享,并讲解了一些安全规则,以及怎么构建Docker的防御体系,对应初步学习Docker的同学有很大的帮助,尤其是关注Docker安全入门用户有一定的技能提升。
docker安全实践
12-21
docker安全实践 vipkid docker安全实践
Docker安全防护CheatSheet1
08-03
介绍Docker是最流行的容器化技术。一方面与直接在主机上运行应用程序相比,正确使用Docker可以提高安全级别。另一方面,一些常见的Docker错误配置又可能
Docker安全实践探索
09-16
来自联众游戏安全总监袁曙光的演讲主题:Docker安全实践探索
Docker安全及日志管理资源
05-15
Docker安全及日志管理资源
「快学DockerDocker容器安全性探析
热门推荐
wml_JavaKill的博客
08-25 3万+
Docker容器的安全性是容器化部署中至关重要的一环。通过遵循最佳实践,定期更新镜像,实施隔离和监控,以及限制权限和加强网络安全性,可以有效降低容器部署所带来的安全风险。然而,安全性是一个持续的过程,需要不断关注和改进,以保障整个系统的稳定性和可靠性。
企业运维容器之 docker 安全
weixin_54720351的博客
05-31 464
企业运维容器之 docker 安全 1. Docker 安全2. 容器资源控制 1. Docker 安全 Docker 容器的安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux 内核的命名空间机制提供的容器隔离安全; Linux 控制组机制对容器资源的控制能力安全; Linux 内核的能力机制所带来的操作权限安全Docker程序(特别是服务端)本身的抗攻击性; 其他安全增强机制对容器安全性的影响。 命名空间隔离的安全docker run
docker安全:理解docker安全、容器资源控制、docker安全加固
weixin_43384009的博客
04-16 306
这里写自定义目录标题一、理解docker安全二、容器资源控制cpu控制内存控制io控制三、docker安全加固 一、理解docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 ...
Docker安全以及https协议
Ybaocheng的博客
01-31 1410
尽量不用 --privileged 运行容器(授权容器root用户拥有宿主机的root权限)尽量不用 --network host 运行容器(使用host网络模式共享宿主机的网络命名空间)尽量不在容器中运行 ssh 服务尽量不把宿主机系统的关键敏感目录挂载到容器中。
DockerDocker的工具实践及root概念和Docker容器安全性设置的详细讲解
m0_75058342的博客
07-31 4420
DockerDocker的工具实践及root概念和Docker容器安全性设置、时间戳概念、安全性的详细讲解
docker安全性测试
最新发布
06-27
Docker 安全性测试是确保 Docker 镜像、容器以及整个 Docker 使用环境的安全性的过程。这涉及到对以下几个关键方面进行评估: 1. **镜像安全**: - **漏洞扫描**:检查镜像是否有已知的漏洞或安全风险。 - **文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值