Docker容器安全管控方法

這篇文章主要講解了“Docker容器安全管控方法”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“Docker容器安全管控方法”吧！

一、前言

毫無(wú)疑問(wèn)，容器是當(dāng)前云計(jì)算的熱門(mén)主流技術(shù)之一。Docker  通過(guò)把應(yīng)用的運(yùn)行時(shí)環(huán)境和應(yīng)用打包在一起，解決了部署環(huán)境依賴(lài)等問(wèn)題;它消除了編譯、打包與部署、運(yùn)維之間的鴻溝，有助于提高應(yīng)用開(kāi)發(fā)、運(yùn)維效率：總之，它與  DevOps 理念不謀而合，受到了很多企業(yè)的推崇。

當(dāng)然 Docker 容器的生命周期中也存在著不少安全隱患，比如容器自身的問(wèn)題、容器鏡像的問(wèn)題，還有容器在運(yùn)行時(shí)暴露的問(wèn)題等等。因此，本文將對(duì) Docker  容器生命周期的安全問(wèn)題及相應(yīng)的改善方法進(jìn)行若干探討，掛一漏萬(wàn)，拋磚引玉，希望各位讀者予以批評(píng)指正!

二、Docker容器生命周期安全問(wèn)題

在 Docker 容器生命周期內(nèi)的多個(gè)階段均可能引入安全問(wèn)題，本章將分模塊對(duì)這些安全問(wèn)題進(jìn)行淺析，綱舉目張，我們先了解一下 Docker  容器全生命周期安全管控的架構(gòu)，如圖1所示。

圖1. Docker 容器全生命周期安全管控架構(gòu)

這張圖片可以反映 Docker 對(duì)其核心——“鏡像” 的 “Build, Ship and  Run”(構(gòu)建鏡像、傳輸鏡像與運(yùn)行容器)操作;Docker的應(yīng)用環(huán)境可被分為“非生產(chǎn)環(huán)境”和 “生產(chǎn)環(huán)境” 這兩類(lèi)。

非生產(chǎn)環(huán)境與  Dev(開(kāi)發(fā))強(qiáng)相關(guān)，而生產(chǎn)環(huán)境則與Ops(運(yùn)維)強(qiáng)相關(guān)。非生產(chǎn)環(huán)境內(nèi)的主要管控點(diǎn)是鏡像深度掃描，在生產(chǎn)環(huán)境做容器編排時(shí)需要從非生產(chǎn)環(huán)境拉取并運(yùn)行Docker鏡像，因此鏡像運(yùn)行控制也是一個(gè)主要管控點(diǎn)。

生產(chǎn)環(huán)境內(nèi)的主要管控點(diǎn)是容器系統(tǒng)入侵檢測(cè)與防護(hù)以及容器網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)。同時(shí)，應(yīng)在Docker容器全生命周期中的各個(gè)階段將合規(guī)基線(xiàn)問(wèn)題作為重要的管控點(diǎn)。

下面從Docker容器安全的各個(gè)主要管控點(diǎn)出發(fā)，列舉部分它們所應(yīng)對(duì)的安全問(wèn)題。

1. 鏡像深度掃描

在做鏡像深度掃描時(shí)，應(yīng)重視的安全問(wèn)題包括但不限于：

• 鏡像中的操作系統(tǒng)軟件包與應(yīng)用程序依賴(lài)項(xiàng)包含已知CVE漏洞

• 鏡像的應(yīng)用目錄被植入Webshell

• 鏡像敏感信息泄露

• 鏡像完整性校驗(yàn)問(wèn)題

Dockerfile中存在不安全的寫(xiě)法(Dockerfile是Docker鏡像的構(gòu)建腳本)

2. 鏡像運(yùn)行控制

在做鏡像運(yùn)行控制時(shí)，應(yīng)重視的安全問(wèn)題包括但不限于：

• 鏡像完整性校驗(yàn)問(wèn)題

• 特權(quán)模式共享root權(quán)限

• 內(nèi)存配額未被限制

• CPU優(yōu)先級(jí)未被限制

• 存儲(chǔ)空間配額未被限制

• 在啟用容器時(shí)使用Host網(wǎng)絡(luò)模式

3. 容器系統(tǒng)入侵檢測(cè)與防護(hù)

在做容器系統(tǒng)入侵檢測(cè)與防護(hù)時(shí)，應(yīng)重視的安全問(wèn)題包括但不限于：

• 未隔離文件系統(tǒng)

• 調(diào)用有漏洞的系統(tǒng)內(nèi)核函數(shù)

• 拒絕服務(wù)攻擊

4. 容器網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)

在做容器網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)時(shí)，應(yīng)重視的安全問(wèn)題包括但不限于：

• 容器間的局域網(wǎng)攻擊

• Remote API接口安全

• Docker缺陷架構(gòu)與安全機(jī)制紕漏

• 微服務(wù)架構(gòu)Web應(yīng)用安全問(wèn)題

5. 安全合規(guī)基線(xiàn)

為了應(yīng)對(duì)Docker安全問(wèn)題，應(yīng)重視的安全問(wèn)題包括但不限于：

• 內(nèi)核級(jí)別

• 網(wǎng)絡(luò)級(jí)別

• 鏡像級(jí)別

• 容器級(jí)別

• 文件限制

• 能力限制

6. Docker及其配套軟件漏洞

在使用Docker及其配套軟件時(shí)，應(yīng)重視的安全問(wèn)題包括但不限于：

• Docker自身漏洞

• K8S(Kubernetes)等編排應(yīng)用自身漏洞

• 鏡像倉(cāng)庫(kù)自身漏洞

注：Docker及其配套軟件漏洞對(duì)Docker容器安全問(wèn)題有著較深的影響，因而將之獨(dú)立成一個(gè)管控點(diǎn)點(diǎn)?？蓪ⅰ八褂玫腄ocker及其配套軟件的版本不受已知漏洞影響”作為一條“安全合規(guī)基線(xiàn)”。

三、淺談Docker容器安全現(xiàn)狀改善方法

面對(duì) Docker 容器安全的挑戰(zhàn)，可以  “分而治之”，對(duì)各個(gè)階段的安全管控點(diǎn)進(jìn)行管控。在實(shí)施管控時(shí)，也可劃分優(yōu)先級(jí)，優(yōu)先考慮較為重要的管控點(diǎn)，推遲考慮較為次要的管控點(diǎn)(例如，“鏡像運(yùn)行控制”  管控點(diǎn)與用戶(hù)對(duì) Docker 的使用方式有較大關(guān)聯(lián)。可以在安全產(chǎn)品中對(duì)用戶(hù)的危險(xiǎn)操作進(jìn)行告警，但不一定要進(jìn)行阻斷。Docker  容器安全產(chǎn)品應(yīng)注重對(duì)由用戶(hù)的不安全使用方式催生的安全問(wèn)題進(jìn)行防御)。

下面，結(jié)合行業(yè)實(shí)踐經(jīng)驗(yàn)梳理針對(duì) “鏡像深度掃描”、“容器系統(tǒng)入侵檢測(cè)與防護(hù)”、“容器網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)” 與 “安全合規(guī)基線(xiàn)” 的管控方法。

1. “鏡像深度掃描” 管控方法

在使用 Docker 鏡像之前使用 Docker 鏡像掃描器有助于發(fā)現(xiàn) Docker 鏡像的安全性問(wèn)題。基于此，知名的開(kāi)源鏡像倉(cāng)庫(kù) Harbor  就集成了鏡像掃描器，如圖 2 所示。

圖2. 知名開(kāi)源鏡像倉(cāng)庫(kù)Harbor集成了鏡像掃描器

現(xiàn)有鏡像掃描工具基本都具備了 “對(duì)軟件漏洞進(jìn)行掃描” 的基礎(chǔ)功能。部分開(kāi)源項(xiàng)目或商業(yè)平臺(tái)具備如下特殊功能：

• 對(duì)木馬、病毒、惡意軟件或其他惡意威脅進(jìn)行靜態(tài)分析

• 對(duì)主流編程語(yǔ)言的代碼安全問(wèn)題進(jìn)行靜態(tài)發(fā)現(xiàn)(與開(kāi)發(fā)工作流緊密結(jié)合)

• 對(duì)Dockerfile進(jìn)行檢查

• 對(duì)憑據(jù)泄露進(jìn)行檢查

因?yàn)?Docker 鏡像是 Docker 容器的模板，所涉及的攻擊面較大，并且有的安全風(fēng)險(xiǎn)不易被掃描器所發(fā)現(xiàn)，所以現(xiàn)階段的  “Docker鏡像掃描”的做法仍不能保障 Docker 鏡像的安全性，建議人工介入檢查(可結(jié)合“docker inspect” 與 “docker  history” 等命令查看鏡像的部分信息)。

2. “容器系統(tǒng)入侵檢測(cè)與防護(hù)” 管控方法

加強(qiáng) Docker 容器與內(nèi)核層面的隔離性有助于強(qiáng)化 “容器系統(tǒng)入侵檢測(cè)與防護(hù)”。比如 Docker 社區(qū)開(kāi)發(fā)的安全特性、Linux  運(yùn)行時(shí)方案、異常行為檢測(cè)應(yīng)用以及 “容器+全虛擬化” 方案，如圖 3 所示。

圖3. “容器系統(tǒng)入侵檢測(cè)與防護(hù)” 管控方法

Docker 社區(qū)開(kāi)發(fā)了針對(duì) Linux 的 Cgroup 和 Namespce  的安全特性(Cgroup可用于限制CPU、內(nèi)存、塊設(shè)備I/O(具體可參考“docker run”命令的參數(shù));Namespace 可用于對(duì)  PID、mount、network、UTS、IPC、user 等內(nèi)核資源進(jìn)行隔離;Cgroup 對(duì)系統(tǒng)資源的隔離已經(jīng)比較完善了，而 Namespace  的隔離還不夠完善(甚至不可能完善，因?yàn)檫@是共享內(nèi)核導(dǎo)致的固有缺陷)。

部分可借鑒的Linux運(yùn)行時(shí)方案如下：

• Capability：令某程序擁有哪些能力;

•  Selinux：定義了系統(tǒng)中每一個(gè)用戶(hù)、進(jìn)程、應(yīng)用、文件訪(fǎng)問(wèn)及轉(zhuǎn)變的權(quán)限，然后使用一個(gè)安全策略來(lái)控制這些實(shí)體(即用戶(hù)、進(jìn)程、應(yīng)用和文件)之間的交互，安全策略指定了如何嚴(yán)格或者寬松地進(jìn)行檢查;

• Apparmor：設(shè)置執(zhí)行程序的訪(fǎng)問(wèn)控制權(quán)限(可限制程序讀/寫(xiě)某個(gè)目錄文件，打開(kāi)/讀/寫(xiě)網(wǎng)絡(luò)端口等);

• Secomp：應(yīng)用程序的沙盒機(jī)制，以白名單、黑名單方式限定進(jìn)程對(duì)系統(tǒng)進(jìn)行調(diào)用;

• Grsecurity：linux 內(nèi)核補(bǔ)丁，增強(qiáng)內(nèi)核安全性。

部分可借鑒的容器環(huán)境異常行為檢測(cè)開(kāi)源應(yīng)用如下：

• Sysdig Falco：一款為云原生平臺(tái)設(shè)計(jì)的進(jìn)程異常行為檢測(cè)工具，支持接入系統(tǒng)調(diào)用事件和 Kubernetes 審計(jì)日志;

• cAdvisor：可以對(duì)節(jié)點(diǎn)機(jī)器上的資源及容器進(jìn)行實(shí)時(shí)監(jiān)控和性能數(shù)據(jù)采集，包括 CPU  使用情況、內(nèi)存使用情況、網(wǎng)絡(luò)吞吐量及文件系統(tǒng)使用情況。

“容器+全虛擬化” 方案也是 “容器系統(tǒng)入侵防護(hù)”  的有效方案，如果將容器運(yùn)行在全虛擬化環(huán)境中(例如在虛擬機(jī)中運(yùn)行容器)，這樣就算容器被攻破，也還有虛擬機(jī)的保護(hù)作用(目前一些安全需求很高的應(yīng)用場(chǎng)景采用的就是這種方式)。

3. “容器網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)” 管控方法

Docker 容器網(wǎng)絡(luò)的安全問(wèn)題可被劃分為 “網(wǎng)絡(luò)安全防護(hù)” 與 “微服務(wù)Web應(yīng)用安全” 兩類(lèi)，“隔離” 和 “訪(fǎng)問(wèn)控制”  等主要思路均有助于管控二者的安全問(wèn)題。此外，仍可將部分現(xiàn)階段較為成熟的安全技術(shù)應(yīng)用到 Docker 場(chǎng)景中。在具體實(shí)施時(shí)，可依據(jù) Docker  應(yīng)用規(guī)模與實(shí)際的網(wǎng)絡(luò)部署情況進(jìn)行管控。

Docker 網(wǎng)絡(luò)本身具備 “隔離” 和 “訪(fǎng)問(wèn)控制” 功能的網(wǎng)絡(luò)安全機(jī)制，但存在 “粒度較大” 與 “對(duì)安全威脅的感知能力不足”  等缺陷，如圖4所示。

圖4. Docker 網(wǎng)絡(luò)自身安全機(jī)制

為了彌補(bǔ) Docker 網(wǎng)絡(luò)的安全缺陷，一些商業(yè)化的端對(duì)端的 Docker 安全產(chǎn)品對(duì)網(wǎng)絡(luò)集群進(jìn)行了縱深防御，它們具備的功能特點(diǎn)包括了：

• 容器防火墻

• 運(yùn)行時(shí)保護(hù)

• 網(wǎng)絡(luò)深度數(shù)據(jù)包檢測(cè)

• 攻擊行為、異常行為告警

• 日志監(jiān)控

• 多編排平臺(tái)支持

• 網(wǎng)絡(luò)流量可視化

部分廠商在實(shí)現(xiàn)上述功能點(diǎn)時(shí)，在產(chǎn)品中引入了機(jī)器學(xué)習(xí)方法，用于生成行為模式與容器感知網(wǎng)絡(luò)規(guī)則。

Docker 網(wǎng)絡(luò)具有組網(wǎng)方案多樣化、容器生命周期長(zhǎng)短不一、應(yīng)用場(chǎng)景多樣化等特點(diǎn)。因而，應(yīng)參照組網(wǎng)方案特點(diǎn)制定管控方法。筆者梳理的針對(duì)  “類(lèi)傳統(tǒng)單體應(yīng)用”和 “微服務(wù)架構(gòu)應(yīng)用” 的入侵檢測(cè)與防御思路如圖5所示。

圖5. Docker 網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)思路

首先來(lái)看 “類(lèi)傳統(tǒng)單體應(yīng)用” 的 Docker 網(wǎng)絡(luò)集群的入侵檢測(cè)和防護(hù)思路。以圖 6 所示的微服務(wù)集群為例進(jìn)行介紹。該集群里只有  Nginx、Tomcat 以及 MySQL 的 3 個(gè)容器。

圖6. “類(lèi)傳統(tǒng)單體應(yīng)用”的Docker網(wǎng)絡(luò)集群的入侵檢測(cè)和防護(hù)思路

注：圖中的綠色虛線(xiàn)表示文件掛載或者Docker的cp命令等方式，通過(guò)這兩種方式可以更便捷地在宿主機(jī)實(shí)時(shí)修改Nginx容器里的配置文件，調(diào)整Tomcat容器里的應(yīng)用程序文件，或者對(duì)MySQL容器里的數(shù)據(jù)進(jìn)行持久化。

為了對(duì)這套 Docker Web 應(yīng)用進(jìn)行入侵檢測(cè)與防御，可考慮以下 9 點(diǎn)方法：

(1) Iptables隔離

通過(guò)在宿主機(jī)側(cè)對(duì)Docker網(wǎng)絡(luò)集群外部做基于Iptables的隔離策略，可以限制攻擊者對(duì)“容器在宿主機(jī)所映射端口”的訪(fǎng)問(wèn)，縮小受攻擊面。

(2) 部署軟WAF

通過(guò)在Docker網(wǎng)絡(luò)集群的流量入口處做軟WAF的部署(形態(tài)可以是宿主機(jī)軟件或者Docker容器)，可以在此處阻斷、發(fā)現(xiàn)部分惡意流量。

(3) 部署RASP

通過(guò)在Java、PHP服務(wù)器Docker容器內(nèi)部部署RASP產(chǎn)品，可以用之作為保護(hù)的最后一環(huán)，作為網(wǎng)絡(luò)治理的一個(gè)補(bǔ)充小點(diǎn)。

(4) Webshell掃描

通過(guò)在宿主機(jī)側(cè)通過(guò)Webshell掃描引擎掃描來(lái)自Docker容器的“Web應(yīng)用程序文件”(這些文件可通過(guò)“docker  cp”命令或者“動(dòng)態(tài)掛載”機(jī)制獲得)，有助于發(fā)現(xiàn)攻擊者植入的Webshell。

(5) 日志分析

通過(guò)在宿主機(jī)側(cè)通過(guò)ELK等日志分析分析來(lái)自Docker容器的日志文件(這些日志文件同樣可通過(guò)“docker  cp”或“動(dòng)態(tài)掛載”等方式獲得)。此外，單獨(dú)運(yùn)行Sidekick日志容器等做法有助于發(fā)現(xiàn)安全威脅。

(6) 識(shí)別中間人攻擊

通過(guò)在Docker網(wǎng)絡(luò)集群內(nèi)部通過(guò)網(wǎng)絡(luò)隔離是防止此類(lèi)基于網(wǎng)絡(luò)的攻擊的有效方法，此方法可使得攻擊者無(wú)法操縱或竊聽(tīng)主機(jī)及其他容器的網(wǎng)絡(luò)流量;在這種情況下，OpenVPN(開(kāi)放虛擬專(zhuān)用網(wǎng)絡(luò))提供了一種通過(guò)TLS(傳輸層安全協(xié)議)加密實(shí)現(xiàn)虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)的方法。

(7) 識(shí)別、阻斷流向異常的流量

通過(guò)在Docker網(wǎng)絡(luò)集群內(nèi)部依據(jù)實(shí)際的網(wǎng)絡(luò)拓?fù)鋱D對(duì)網(wǎng)絡(luò)進(jìn)行 “微分段”  隔離(在“微服務(wù)架構(gòu)”下，IP地址可能變換頻繁，但是預(yù)先劃分的網(wǎng)段不會(huì)變換頻繁)，或者對(duì)指定的網(wǎng)橋、網(wǎng)卡進(jìn)行流量的DPI分析，有助于識(shí)別、阻斷流向異常的流量。

(8)識(shí)別拒絕服務(wù)攻擊

通過(guò)在宿主機(jī)側(cè)讀取和Docker容器對(duì)應(yīng)的cgroup文件系統(tǒng)相關(guān)文件的實(shí)時(shí)內(nèi)容(網(wǎng)絡(luò)、CPU、內(nèi)存、磁盤(pán))，可以識(shí)別出拒絕服務(wù)攻擊。

(9) 網(wǎng)絡(luò)流量可視化

“網(wǎng)絡(luò)流量可視化” 是現(xiàn)有的 “容器安全產(chǎn)品”的常見(jiàn)附加功能。該功能的功能可能依托于 “對(duì)指定的網(wǎng)橋、網(wǎng)卡進(jìn)行流量的DPI分析”。

接著來(lái)看 “微服務(wù)架構(gòu)應(yīng)用” 的 Docker 網(wǎng)絡(luò)集群的入侵檢測(cè)和防護(hù)思路。“微服務(wù)架構(gòu)應(yīng)用” 與 “類(lèi)傳統(tǒng)單體應(yīng)用” 的顯著區(qū)別包括了 Docker  容器數(shù)量較多、網(wǎng)絡(luò)拓?fù)漭^復(fù)雜等方面。在這種生產(chǎn)場(chǎng)景下，K8S 等平臺(tái)可幫助用戶(hù)進(jìn)行大規(guī)模容器編排?？煽紤]使用的入侵檢測(cè)和防護(hù)思路如下：

(1) 運(yùn)用 K8S 原生或其第三方網(wǎng)絡(luò)插件的網(wǎng)絡(luò)策略

K8S原生的網(wǎng)絡(luò)策略 “NetworkPolicy” 可為 K8S 的最基本操作單位 “Pod” 提供 “IP地址/端口號(hào)” 級(jí)別的網(wǎng)絡(luò)隔離。

注：K8S支持以“第三方網(wǎng)絡(luò)插件”的形式選擇網(wǎng)絡(luò)方案，進(jìn)而會(huì)影響網(wǎng)絡(luò)策略的選擇。例如，

NetworkPolicy須由實(shí)現(xiàn)了CNI接口的網(wǎng)絡(luò)插件提供(如Calico、Cilium、Kube-route、Weave Net等等)。

(2) 關(guān)注微服務(wù)架構(gòu)Web應(yīng)用的接口“認(rèn)證鑒權(quán)”問(wèn)題

開(kāi)發(fā)方應(yīng)對(duì)微服務(wù)架構(gòu)Web應(yīng)用的認(rèn)證鑒權(quán)等問(wèn)題予以重視，降低接口被網(wǎng)絡(luò)可互通的容器惡意訪(fǎng)問(wèn)的風(fēng)險(xiǎn)。常見(jiàn)的“認(rèn)證鑒權(quán)”方案可包括：網(wǎng)關(guān)鑒權(quán)模式、服務(wù)自主鑒權(quán)模式、API  Token模式。

(3) 以“組件化”的形式在微服務(wù)集群中部署Web安全應(yīng)用

為了增加 Docker 網(wǎng)絡(luò)集群的安全能力，可在 Docker 集群中部署 Web 安全應(yīng)用(針對(duì) “類(lèi)單體Web應(yīng)用”  的做法仍可繼續(xù)使用。比如，我司的網(wǎng)站安全狗可用于保護(hù)部署在 Docker 容器里的 Web 應(yīng)用，如圖 7  所示)，此外也可考慮在容器集群中部署API網(wǎng)關(guān)容器(基于Nginx+Lua)、蜜罐容器或者資產(chǎn)發(fā)現(xiàn)與漏洞掃描器。

圖7. 網(wǎng)站安全狗可以用于保護(hù) Docker 容器

(4) 運(yùn)用 “Service Mesh” 技術(shù)

Service Mesh(服務(wù)網(wǎng)格)技術(shù)彌補(bǔ)了 K8S  在微服務(wù)通信的短板，有助于對(duì)應(yīng)用層做訪(fǎng)問(wèn)限制。服務(wù)網(wǎng)格是一個(gè)基礎(chǔ)設(shè)施層，功能在于處理服務(wù)間通信，其主要職責(zé)在于負(fù)責(zé)實(shí)現(xiàn)請(qǐng)求的可靠傳輸。在實(shí)踐中，服務(wù)網(wǎng)格通常實(shí)現(xiàn)為輕量級(jí)網(wǎng)絡(luò)代理，通常與應(yīng)用程序部署在一起，但是對(duì)應(yīng)用程序透明。以開(kāi)源應(yīng)用  Istio  為例，它通過(guò)為整個(gè)服務(wù)網(wǎng)格提供行為洞察和操作控制滿(mǎn)足微服務(wù)應(yīng)用程序的多樣化需求。它在服務(wù)網(wǎng)絡(luò)中統(tǒng)一提供了流量管理、策略執(zhí)行、服務(wù)身份和安全等關(guān)鍵功能。同時(shí)，Istio還可集成已有的  ACL、日志、監(jiān)控、配額、審計(jì)等功能。未來(lái) Service Mesh 的融合架構(gòu)模型如圖8所示。

圖8. 未來(lái) Service Mesh 融合架構(gòu)

4. “安全合規(guī)基線(xiàn)” 管控方法

為了應(yīng)對(duì) Docker 容器生命周期里的全問(wèn)題，需要可操作、可執(zhí)行的 Docker  安全基線(xiàn)檢查清單，這個(gè)清單要清晰、可查、可維護(hù)，以供在生產(chǎn)環(huán)境中執(zhí)行基礎(chǔ)架構(gòu)的安全檢查和審計(jì)。

以下安全合規(guī)檢查工具有較好的參考性：

(1) docker-bench-security(與Docker官方及CIS推出的安全標(biāo)準(zhǔn)相配套，如圖9所示)。

(2) Kube-bench(運(yùn)行 CIS Kubernetes 基準(zhǔn)測(cè)試，來(lái)檢查 Kubernetes 部署的安全程度)。

(3) OpenPolicyAgent(將安全策略和最佳實(shí)踐從特定的運(yùn)行時(shí)平臺(tái)解耦)。

圖9. Docker-Bench-Security 與官方白皮書(shū)配套

四、總結(jié)

經(jīng)過(guò)多年發(fā)展，Docker 容器技術(shù)逐漸被接受并應(yīng)用于 DevOps  和微服務(wù)等領(lǐng)域，在未來(lái)還有很大的潛力。本文探討了若干容器生命周期內(nèi)的安全問(wèn)題，不難發(fā)現(xiàn)，要做好 Docker  容器安全管控工作，不應(yīng)忽視鏡像深度掃描、容器系統(tǒng)與容器網(wǎng)絡(luò)的入侵檢測(cè)與防護(hù)以及安全合規(guī)問(wèn)題等環(huán)節(jié)。在面對(duì)上述環(huán)節(jié)時(shí)，可考慮借鑒、改造現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)。

由于不同組織機(jī)構(gòu)有著不同的 Docker  應(yīng)用級(jí)別和技術(shù)選型，因而具體的實(shí)施方法會(huì)有不同。不同組織機(jī)構(gòu)應(yīng)結(jié)合自身情況，分階段、分層(容器引擎層、編排調(diào)度層)選擇適合的解決方案，以更好地保護(hù) Docker  容器環(huán)境。

感謝各位的閱讀，以上就是“Docker容器安全管控方法”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)Docker容器安全管控方法這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！