安全性目前及可预见的未来始终是阻碍容器广泛普及的困扰所在,技术行业对于容器与虚拟机间安全性差异的争论之声亦是此起彼伏。
事实上,容器生态支持者们表示目前已经有大量工具及产品可对其平台安全性做出改善,具体包括静态分析(镜像扫描)、运行时漏洞检测、出处溯源(镜像签名)、细粒度授权以及密码验证等等。
亦有大量初创企业开始以容器安全功能作为业务基础。目前相关变化正在快速推进,而且可以肯定的是,开源社区及各供应商在过去一年中立足于多种层面——包括操作系统、容器运行时、容器镜像、主机到集群编排工具、PaaS乃至CaaS——为容器的安全性提升做出了卓越而显著的贡献。
互联网安全中心(简称CIS)正是其中之一。CIS致力于提升网络安全水平,同时帮助公共与私营部门之间实现快速响应。CIS制定的安全基准旨在提供一套经过严格定义、公正且协商一致的行业最佳实践方案,帮助企业对自身安全性做出评估及改进。在合作社区的不懈努力下,第一套CIS Docker基准已经于去年4月面向Docker 1.6正式发布。而就在本月13号,添加Docker 1.11.0版本相关内容的全新基准版本亦新鲜出炉。
CIS Docker基准针对Docker容器基础设施安全配置做出说明性指导(以规则形式)。新的基准版本中添加了22条新规则,同时取消了原本的23条规则,目前总规则数量为83条。
随着Docker在过去一年中的快速发展,部分规则经过对应更新或者被直接取消,旨在保证新版本中的各条规则切实符合Docker现状。在1.11.0版本中,Docker将容器监控与运行时加以拆分,并由containerd与runc两个守护进程负责管理。
此次基准将Docker安全问题分为以下几类(括号中为各分类的相关规则数量):
·主机配置 (15)
·Docker守护进程配置(13)
·Docker守护进程配置文件 (20)
·容器镜像与Build文件 (5)
·容器运行时 (25)
·Docker安全操作 (5)
每条规则不仅描述了相关安全议题与如何审计部署方案的安全水平,同时还指导大家如何对其加以解决。规则及其补救措施建议皆立足于容器主机制定,而非以集群为基础,因此大家在选择解决办法时需要将集群的规模与平台选择考虑进来(包括裸机、容器PaaS乃至云环境等等)。
此次CIS Docker 1.11.0基准(PDF格式,英文原文)中的新增规则包括: