通常,新技术都会引发安全顾虑。然而,有两份报告都宣称,在容器内运行应用程序比在容器外更安全。
任何新技术进入人们视线的时候,安全问题通常都是人们接纳的障碍。但是,对于Docker容器,有2家公司就认为,安全应该是促使人们采纳这一技术的驱动力。
分析公司Gartner和网络安全专家 NCC Group 发布了研究报告,详细说明容器安全现状。Docker公司安全总监内森·麦考利说:“重点在于,Gartner认为应用程序在Docker容器内运行更安全,并且将这一观点推送给了他们的企业用户。再结合上 NCC Group 确认Docker在容器安全领域领袖地位的报告,就更具重磅意义了。”
Gartner分析师乔戈·弗里奇写道,部署在容器里的应用程序,实际上比直接运行在裸机操作系统上要更安全,因为“应用程序和用户都被隔离在一个个容器中了,这样他们就不能感染其他容器或宿主操作系统了。”
NCC Group 的报告宣称,“从安全角度,容器创建了减小攻击界面和隔离应用程序到仅包含所需组件、接口、库和网络连接的最小环境的方法。”
麦考利在8月23号发布了一篇博文,里面的一张图表列出了Docker具备的一些关键安全特性,以及与其他容器选项的对比。这些特性中有个名为 seccomp滤镜的功能,是首次添加到2月份推出的 Docker 1.10 更新中的。Seccomp是集成到Linux内核主干中的一种技术,提供细粒度的安全控制。
Docker最新版本是1.12版,6月推出的。Gartner已经在考虑 1.12 版的安全特性了,其中包括内置证书授权、节点间相互传输层安全(Mutual TLS)身份验证和授权,以及加密节点身份。尤为特殊的是,加密节点身份是驱动未来安全特性的基础模块之一。
然而,Docker的多层次安全并不意味着所有Docker用户就默认安全了。恰当地保护Docker容器环境,涉及到利用上Docker提供的安全功能,以及应用最佳配置实践。那是2015年5月发布的 Docker Bench 工具背后的理论基础。Docker安全在此后又有了新改进,而Docker Bench 被设为保持跟进。
麦考利称:“我们正在更新 Docker Bench 以利用起1.12版中的新编配特性,并为推出的每个基准持续更新我们的sysbench发布。”
