AWS EC2容器服务是如何改善Docker安全性的?是否有应实施的额外安全措施以确保Docker的安全使用?
Docker是基于管理程序的虚拟机的一个替代品,它可实现应用程序跨平台的轻松迁移。它受到了广大开发运营专业人士的青睐,因为它可帮助他们轻松地把在Mac OS X平台上开发的应用程序移植到一个Linux生产服务器上。
但是,Docker的应用还有着一些安全性方面的问题。
AWS EC2容器服务是一个集群管理系统,它可简化Docker镜像在一组AWS实例上的使用。因为用户的应用程序将在EC2实例上运行,所以他们将获得对一般可用资源的所有安全控制。这是非常重要的,因为它确保了Docker当前版本的安全性有着明显的局限性。
Docker过程具有访问文件系统的根权限,而这有可能被用于危及在同一服务器上其他容器的正常运行。据相关报道,Docker的后续版本将在受限权限下运行。与此同时,AWS用户可充分利用这些安全性功能以减少此类风险。
AWS的虚拟私有云计算(VPC)可在AWS云计算内隔离计算和网络资源。云计算管理员们可以按实际需要创建多个虚拟私有云计算。在每一个云计算内,云计算管理员可以创建子网、定义IP地址以及配置路由器表和网关。管理员们可以在机器实例上设置额外的控制措施——例如安全组——以便于进一步限制对资源的访问。
管理员们也可以在专用实例上运行Docker。这些实例在相关硬件的VPC内运行,而这些硬件则只能由一个客户使用。请注意,对于这些专用实例是需要额外付费的。
其他的AWS安全控制措施还可被应用于运行Docker的实例。例如,可以使用安全组策略针对服务器流出流入流量控制规则。此外,还可将身份与访问管理角色分配给实例;这将允许实例来承担分配给角色的权限。同事,当使用角色时,就不必通过编程的方式把AWS访问密钥发送给实例;这将有助于减少暴露访问密钥的风险。
AWS EC2容器服务将有助于减少企业在AWS云计算中运行大量Docker实例的管理开销,但是这不会降低实例、子网以及虚拟私有云对正确配置和安全性的要求。