“先天优势不如后天培养” Docker安全面面观

然相反。在这不长的发展过程当中，受到了大量企业客户和个人开发者的追捧与拥护。

什么是Docker？

Docker与Java的相似之处在于他们都仅仅是一项标准，作为标准的企业界应用开发语言。绝大多数企业内部的业务应用都是用Java开发的，而Docker正在成为应用封装的标准，未来企业内部的业务应用大多会封装成Docker的形式。

Docker常常被比喻成集装箱，集装箱的发明极大程度地提升了货物装载的效率，集装箱采用标准化的体积尺寸，在这种标准化的体积尺寸带动下，码头、货轮、卡车等产业线也遵循着这种标准去对应生产与建造。同理，Docker将应用封装成标准化的容器应用，使应用的交付、部署、运行、更新等全生命周期的各个环节都变成的有标准所寻，极大地提升了企业的应用管理效率。

安全问题不容忽视

部署的多了，Docker的一些劣势也随之暴露出来。目前已经有相当多的各类容器运行在企业当中，甚至开始在生产环境中发挥作用。但又有多少企业会了解或是考虑到Docker的安全含义，更有甚者全然不知自家企业当中是否存在容器因素。

·引入存有漏洞的代码

由于容器技术多为开源项目，因此开发者创建的景象需要经常更新，以防止必要是使用。这意味着可能带来代码受控性薄弱、存在漏洞或者引发意外状况等问题。

·增大攻击面

在指定环境中，容器的数量往往要多于应用、虚拟机、数据库乃至其它需要保护的对象。容器的数量越多，对其进行追踪就越是困难，而检测异常状况自然也更难以实现。

·缺乏可观察性

容器由容器引擎负责运行，例如Docker或Rkt，同时与Linux内核相对接。由此带来的全新抽象层将导致我们很难发现特定容器中的活动或者特定用户在其中执行的操作。

·Devops速度

容器的生命周期平均只相当于虚拟机的四分之一。容器能够立即执行，运行几分钟，而后被停止并删除。这意味着恶意人士能够借此发动闪电打击，而后马上消失无踪。

·容器间干扰

容器可彼此协作以用于建立DoS攻击。例如，反复开启嵌套会快速导致整体主机设备陷入卡顿并最终宕机。

·容器突破主机

容器可作为root用户运行，这使其能够利用高权限以突破"围堵"及访问主机操作系统。

·横向网络攻击

单一容器的破坏可能导致其所在整体网络遭遇入侵，特别是在对外网络连接且原始嵌套运行未作适当限制的情况下。

见招拆招已过时，现需主动出击

安全方面的问题历来均是见招拆招，只有被攻击之后才能引以为戒，但在如今信息爆炸的年代，你依旧使用这样的解决方案你就太low了，你不仅会损失宝贵的数据，而且还要搭上关键性业务无法正常运转造成的损失。与其坐以待毙不如主动出击，将不利于自家容器等相关威胁扼杀在摇篮当中。就以上相关安全隐患小编总结了一些对应的招数。

1、对于漏洞来说这是一个非常麻烦的事情，所以我们只能采用综合性漏洞的方案。填补漏洞不能说支局限于安全扫描就可以，还需要贯穿整个容器开发周期进行访问控制并配合其他策略，否则很可能导致应用崩溃或者运行入侵。利用主动性多像安全检查来全面控制容器目前面临的诸多漏洞，另外还可搭配上自动触发机制控制开发、测试、分段与生产环境。这样多管齐下的方式才可以将填补漏洞这件麻烦且繁琐的事情做到极致，让你的容器能够安全的投入到生产环境当中。

2、在使用环境当中仅使用获准的镜像。在单独的开发环境中引入获得批准的容器镜像，可以极大地缩小攻击面并预防开发者造成致命安全错误。

3、在全生命周期中实施主动性的安全检查。作为容器生命周期安全管理中的重要组成部分，需要确保注册表中的容器镜像具备完整性。像使用镜像签名或是指纹可提供一套保护链，可轻松完成容器的完整性检查工作，避免人力物力的损失。

4、调整权限优先级控制。说到权限这是一项最基础且最有效的安全方案策略，可以说只要是跟安全相关的都可以适用，容器也不例外。通过将所有运行着的权限调整到最低的办法，确保容器始终仅具备低权限能够降低入侵后引发的暴露风险。

5、在容器上实现网络隔离。维持网络隔离性以按照应用或者工作负载进行容器集群或者容器区划分。通过这种办法，可以高效预防横线攻击活动。

6、对容器的活动与用户进行监控。通过对容器的使用者与日常动作进行监控可以很好的发现容器有和种异常或是恶意现象的发生。

7、对活动日志进行审计。上面一项我们说到了对活动人群进行监控与管理，但对于容器的管理员来说是无法控制，这也就是监控的一大弊端，但是通过对日志的设置我们可以看到所有人对容器的动作，这也就从源头上避免了危害的发生。

可能有人说容器技术是一种开源项目，在诞生的那一天就已经考虑到了安全问题，先天具备了高标准的安全防护性。但老话讲"千里之堤毁于蚁穴"，主动的检测与相应方案还是要纳入到日常保障容器安全工作的当中的。

另外，目前大量容器特定漏洞已经开始涌现，这种趋势在未来也将持续下去。