如何确保 docker 容器的安全,尤其是在使用第三方容器或基础镜像时?
- 使用基础映像时,它可能会启动任何服务或在后台挂载主机文件系统的任意分区,并可能向攻击者发送敏感数据,这是否正确?
- 因此,如果我使用第三方容器(Dockerfile 证明该容器是安全的),我是否应该遍历整个基础映像链表(可能很长)以确保容器实际上是安全的并执行其打算执行的操作?
如何系统、明确地保证docker容器的可信性?
考虑类似于 Android/iOS 移动应用程序的 Docker 镜像。您永远不确定它们是否可以安全运行,但是当它来自 Google Play 或 App Store 等官方来源时,其安全的可能性会更高。
更具体地说,来自 Docker hub 的 Docker 镜像会经过安全扫描,但其细节尚未公开。因此,从 Docker hub 中提取恶意镜像的可能性很小。
然而,当涉及到安全问题时,人们永远都不会偏执。有两种方法可以确保来自任何来源的所有图像都是安全的:
- 主动安全:对 Docker 镜像对应的每个 Dockerfile 进行安全源代码审查,包括您已经表达过问题的基础镜像
- 反应式安全性:运行由 Docker Inc. 开源的 Docker bench,它作为特权容器运行,查找容器运行时已知的恶意活动。
总之,只要有可能,就使用 Docker hub 中的 Docker 镜像。执行安全代码审查Docker文件。运行 Docker bench 或任何其他可以捕获容器执行的恶意活动的等效工具。
参考:
- Docker 安全扫描以前称为 Project Nautilus:https://blog.docker.com/2016/05/docker-security-scanning/ https://blog.docker.com/2016/05/docker-security-scanning/
- 码头工长凳:https://github.com/docker/docker-bench-security https://github.com/docker/docker-bench-security
- Dockerfile 的最佳实践:https://docs.docker.com/engine/userguide/eng-image/dockerfile_best-practices/ https://docs.docker.com/engine/userguide/eng-image/dockerfile_best-practices/
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)