溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

怎么進行Docker數(shù)據(jù)安全隱患分析

發(fā)布時間:2021-11-09 17:22:35 來源:億速云 閱讀:120 作者:柒染 欄目:數(shù)據(jù)安全

本篇文章為大家展示了怎么進行Docker數(shù)據(jù)安全隱患分析,內(nèi)容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。

Docker容器為應(yīng)用的編寫、分發(fā)和部署帶來真正翻天覆地的變化。容器的目的是靈活性,讓應(yīng)用可按需啟用,無論何時以及何地。當(dāng)然無論我們在哪里使用應(yīng)用,我們都需要數(shù)據(jù)。

管理數(shù)據(jù)訪問

現(xiàn)在有很多技術(shù)可用于分配存儲到Docker容器。臨時存儲容量,本地到運行容器的主機,可在運行時分配到容器。存儲卷存儲在映射到應(yīng)用的特定子目錄的主機內(nèi)。卷可在容器實例化時創(chuàng)建,或者使用“docker  volume”命令提前創(chuàng)建。

另外,本地存儲可作為安裝點映射到容器。在這種情況下,“docker  run”命令可指定本地目錄作為容器內(nèi)的安裝點。第三種選擇是使用存儲插件直接關(guān)聯(lián)外部存儲與容器。

開放訪問

在每種方法中,Docker框架都沒有提供針對數(shù)據(jù)的內(nèi)在安全模型。例如,任何主機目錄可安裝到容器,包括敏感系統(tǒng)文件夾,例如/etc。這意味著容器可能修改這些文件,因為使用標(biāo)準簡單的Unix權(quán)限設(shè)置來授予權(quán)限。對此,另一種更好的做法是使用非根容器,這涉及在不同的Linux用戶ID(UID)下運行容器。這比較容易做,但這意味著構(gòu)建一種方法來保護每個容器,使用組ID(GID)或者UID作為權(quán)限檢查。

在這里我們遇到另一個問題:使用非根容器,而本地卷無法正常工作,除非用于運行容器的UID有權(quán)限訪問/var/lib/docker/volumes  目錄。如果不這樣做,數(shù)據(jù)無法訪問或創(chuàng)建。打開這個目錄會有安全風(fēng)險;然而,并沒有固有方法來按卷設(shè)置單獨的權(quán)限。

如果我們看看外部存儲如何安裝到容器,很多解決方案只需向運行容器的主機展示塊設(shè)備(LUN)以及格式化文件系統(tǒng)。這隨后展示到容器作為安裝點。在這一點上,目錄和文件的安全性可在容器內(nèi)設(shè)置,減少我們已經(jīng)討論的問題。然而,如果這個LUN/volume在其他地方重復(fù)使用,則對其如何安裝和使用沒有安全控制,因為沒有安全模型直接構(gòu)建到容器/卷映射關(guān)系。一切都取決于信任主機上運行的命令。

這里還有一個問題:缺乏多租戶性。當(dāng)我們運行容器時,每個容器實例可能為單獨的應(yīng)用運行。在傳統(tǒng)存儲部署中,分配到容器的存儲應(yīng)該有一定程度的分離,以確保數(shù)據(jù)不會被無意或惡意訪問。目前沒有簡單的方法在主機級別做到這一點,只有信任編排工具來運行容器以及映射到數(shù)據(jù)。

尋找解決方案

這里有些問題是特定于Linux/Unix。例如,安裝命名空間的抽象化為我們的數(shù)據(jù)提供了不同的入口點,然而,并沒有權(quán)限的抽象化--我無法映射用戶1000到用戶1001-如果沒有物理升級與每個文件及目錄相關(guān)的ACL(訪問控制列表)數(shù)據(jù)。大規(guī)模ACL變更可能會影響性能。對于本地卷來說,Docker可簡單地設(shè)置主機目錄的權(quán)限,新卷匹配正在啟動容器的UID。

外部卷提供了很好的機會,讓我們可以從運行容器主機中的權(quán)限結(jié)構(gòu)轉(zhuǎn)移。然而,這意味著我們需要一種機制來映射卷數(shù)據(jù)到特定容器實例中已知可信應(yīng)用。請記住,容器并沒有固有的“身份”,可根據(jù)意愿開始和停止。這使得它很難確定任何單個容器是否是數(shù)據(jù)卷的所有者。

目前主要解決方案是依靠編排平臺來管理容器的運行。我們信任這些系統(tǒng)來映射卷和容器,在很多方面,這并不像傳統(tǒng)SAN存儲或者虛擬磁盤映射到虛擬機那樣。但容器的區(qū)別在于其可便攜性,以及需要安全機制延伸到公共云。

我們?nèi)匀挥泻芏喙ぷ饕觥τ贒ocker,對存儲初創(chuàng)公司Infinit的收購可能啟發(fā)他們?nèi)绾伪Wo持久性數(shù)據(jù)。這應(yīng)該可能意味著開發(fā)接口讓所有供應(yīng)商可致力于此。

上述內(nèi)容就是怎么進行Docker數(shù)據(jù)安全隱患分析,你們學(xué)到知識或技能了嗎?如果還想學(xué)到更多技能或者豐富自己的知識儲備,歡迎關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI