目录
1. Docker 安全
2. 容器资源控制
3. docker 安全加固
4. 总结
1. Docker 安全
Docker 容器的安全性,很大程度上依赖于Linux系统自身,因为共享的是 linux 的内核;评估Docker的安全性时,主要考虑以下几个方面:
Linux 内核的命名空间机制提供的容器隔离安全;
Linux 控制组机制对容器资源的控制能力安全;
Linux 内核的能力机制所带来的操作权限安全;
Docker程序(特别是服务端)本身的抗攻击性;
其他安全增强机制对容器安全性的影响。
[root@node11 ~]# docker run -d --name vm1 nginx
b0b4f27e75a66f4ecc8354257b663703004ad56cad3c96ee75c8c6bb8d060634
[root@node11 ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
b0b4f27e75a6 nginx "/docker-entrypoint.…" 9 seconds ago Up 8 seconds 80/tcp vm1
[root@node11 ~]# docker inspect vm1 | grep Pid
"Pid": 33676,
"PidMode": "",
"PidsLimit": null,
[root@node11 ~]# cd /proc/33676
[root@node11 33676]# cd ns
[root@node11 ns]# ls
ipc mnt net pid user uts
1).命名空间隔离的安全
当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命名空间提供了最基础也最直接的隔离。
与虚拟机方式相比,通过Linux namespace来实现的隔离不是那么彻底。
容器只是运行在宿主机上的一种特殊的进程,那么多个容器之间使用的就还是同一个宿主机的操作系统内核。
在 Linux 内核中,有很多资源和对象是不能被 Namespace 化的,比如:时间。
2).控制组资源控制的安全
当docker run启动一个容器时,Docker将在后台为容器创建一个独立的控制组策略集合。
Linux Cgroups提供了很多有用的特性,确保各容器可以公平地分享主机的内存、CPU、磁盘IO等资源。
确保当发生在容器内的资源压力不会影响到本地主机系统和其他容器,它在防止拒绝服务攻击(DDoS)方面必不可少。
3).内核能力机制
能力机制(Capability)是Linux内核一个强大的特性,可以提供细粒度的权限访问控制。
大部分情况下,容器并不需要“真正的”root权限,容器只需要少数的能力即可。
默认情况下,Docker采用“白名单”机制,禁用“必需功能”之外的其他权限。
虽然是超级用户,但是没有权限:
[root@node11 ~]# docker run -it --rm busybox
/ # id
uid=0(root) gid=0(root) groups=10(wheel)
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
172: eth0@if173: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.3/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
/ # ip link set down eth0
ip: SIOCSIFFLAGS: Operation not permitted
/ #
4).Docker服务端防护
使用Docker容器的核心是Docker服务端,确保只有可信的用户才能访问到Docker服务。
将容器的root用户映射到本地主机上的非root用户,减轻容器和主机之间因权限提升而引起的安全问题。
允许Docker 服务端在非root权限下运行,利用安全可靠的子进程来代理执行需要特权权限的操作。这些子进程只允许在特定范围内进行操作。
5).其他安全特性
在内核中启用GRSEC和PAX,这将增加更多的编译和运行时的安全检查;并且通过地址随机化机制来避免恶意探测等。启用该特性不需要Docker进行任何配置。
使用一些有增强安全特性的容器模板。
用户可以自定义更加严格的访问控制机制来定制安全策略。
在文件系统挂载到容器内部时,可以通过配置只读模式来避免容器内的应用通过文件系统破坏外部环境,特别是一些系统运行状态相关的目录。
2. 容器资源控制
Linux Cgroups 的全称是 Linux Control Group。
是限制一个进程组能够使用的资源上限,包括 CPU、内存、磁盘、网络带宽等等。
对进程进行优先级设置、审计,以及将进程挂起和恢复等操作。
Linux Cgroups 给用户暴露出来的操作接口是文件系统。
它以文件和目录的方式组织在操作系统的 /sys/fs/cgroup 路径下。
执行此命令查看:mount -t cgroup
[root@node11 ~]# mount -t cgroup
cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/systemd/systemd-cgroups-agent,name=systemd)
cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpuacct,cpu)
cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (rw,nosuid,nodev,noexec,relatime,net_prio,net_cls)
cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)
cgroup on /sys/fs/cgroup/pids type cgroup (rw,nosuid,nodev,noexec,relatime,pids)
cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory)
cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio)
cgroup on /sys/fs/cgroup/hugetlb type cgroup (rw,nosuid,nodev,noexec,relatime,hugetlb)
cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event)
在 /sys/fs/cgroup 下面有很多诸如 cpuset、cpu、 memory 这样的子目录,也叫子系统。
在每个子系统下面,为每个容器创建一个控制组(即创建一个新目录)。
控制组下面的资源文件里填上什么值,就靠用户执行 docker run 时的参数指定。
[root@node11 ~]# cd /sys/fs/cgroup/
[root@node11 cgroup]# ls
blkio cpuacct cpuset freezer memory net_cls,net_prio perf_event systemd
cpu cpu,cpuacct devices hugetlb net_cls net_prio pids
1).CPU限额
docker run -it --cpu-period=100000 --cpu-quota=20000 ubuntu
cpu_period 和 cpu_quota 这两个参数需要组合使用,用来限制进程在长度为 cpu_period 的一段时间内,只能被分配到总量为 cpu_quota 的 CPU 时间,以上设置表示20%的 cpu 时间。
[root@node11 cgroup]# docker run --help | grep cpu
--cpu-period int Limit CPU CFS (Completely Fair Scheduler) period
--cpu-quota int Limit CPU CFS (Completely Fair Scheduler) quota
--cpu-rt-period int Limit CPU real-time period in microseconds
--cpu-rt-runtime int Limit CPU real-time runtime in microseconds
-c, --cpu-shares int CPU shares (relative weight)
--cpus decimal Number of CPUs
--cpuset-cpus string CPUs in which to allow execution (0-3, 0,1)
--cpuset-mems string MEMs in which to allow execution (0-3, 0,1)
[root@node11 cgroup]# docker run -it --rm --cpu-period 100000 --cpu-quota=20000 busybox
/ # dd if=/dev/zero of=/dev/null & 在运行容器时指定cpu百分比;
[root@node11 cgroup]# cd /sys
[root@node11 sys]# cd fs
[root@node11 fs]# ls
bpf cgroup pstore xfs
[root@node11 fs]# cd cgroup/
[root@node11 cgroup]# ls
blkio cpuacct cpuset freezer memory net_cls,net_prio perf_event systemd
cpu cpu,cpuacct devices hugetlb net_cls net_prio pids
[root@node11 cgroup]# cd cpu
[root@node11 cpu]# cd docker/
[root@node11 docker]# ls
cgroup.clone_children cpuacct.stat cpu.cfs_period_us cpu.rt_runtime_us notify_on_release
cgroup.event_control cpuacct.usage cpu.cfs_quota_us cpu.shares tasks
cgroup.procs cpuacct.usage_percpu cpu.rt_period_us cpu.stat
[root@node11 docker]# pwd
/sys/fs/cgroup/cpu/docker
[root@node11 docker]# cat cpu.cfs_period_us
100000
[root@node11 docker]# cat cpu.cfs_quota_us
-1
[root@node11 docker]# cd
669d80a044d4ad7190d0b79d1bf78534e6f6fb6f5a13e5e157b12b68d61851b4
[root@node11 669d80a044d4ad7190d0b79d1bf78534e6f6fb6f5a13e5e157b12b68d61851b4]# cat cpu.cfs_period_us
100000
[root@node11 669d80a044d4ad7190d0b79d1bf78534e6f6fb6f5a13e5e157b12b68d61851b4]# cat cpu.cfs_quota_us
20000
2).内存限制
容器可用内存包括两个部分:物理内存和 swap 交换分区。
docker run -it --memory 200M --memory-swap=200M ubuntu
–memory设置内存使用限额
–memory-swap设置swap交换分区限额
运行一个容器来设置其内存配额;
[root@node11 ~]# docker run -d --name vm2 --memory 200M --memory-swap 200M nginx
e1063b319bc2f1f798e07d5dcb24e15e9a361b758f5eb8997a18ff83aef0d0e0
[root@node11 ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
e1063b319bc2 nginx "/docker-entrypoint.…" 16 seconds ago Up 15 seconds 80/tcp vm2
669d80a044d4 nginx "/docker-entrypoint.…" 31 minutes ago Up 31 minutes 80/tcp vm1
[root@node11 ~]# cd /sys/fs/cgroup/
[root@node11 cgroup]# cd memory/
[root@node11 memory]# cd docker/
[root@node11 docker]# ls
669d80a044d4ad7190d0b79d1bf78534e6f6fb6f5a13e5e157b12b68d61851b4 memory.max_usage_in_bytes
cgroup.clone_children memory.memsw.failcnt
cgroup.event_control memory.memsw.limit_in_bytes
cgroup.procs memory.memsw.max_usage_in_bytes
e1063b319bc2f1f798e07d5dcb24e15e9a361b758f5eb8997a18ff83aef0d0e0 memory.memsw.usage_in_bytes
memory.failcnt memory.move_charge_at_immigrate
memory.force_empty memory.numa_stat
memory.kmem.failcnt memory.oom_control
memory.kmem.limit_in_bytes memory.pressure_level
memory.kmem.max_usage_in_bytes memory.soft_limit_in_bytes
memory.kmem.slabinfo memory.stat
memory.kmem.tcp.failcnt memory.swappiness
memory.kmem.tcp.limit_in_bytes memory.usage_in_bytes
memory.kmem.tcp.max_usage_in_bytes memory.use_hierarchy
memory.kmem.tcp.usage_in_bytes notify_on_release
memory.kmem.usage_in_bytes tasks
memory.limit_in_bytes
[root@node11 docker]# cd e1063b319bc2f1f798e07d5dcb24e15e9a361b758f5eb8997a18ff83aef0d0e0
[root@node11 e1063b319bc2f1f798e07d5dcb24e15e9a361b758f5eb8997a18ff83aef0d0e0]# ls
cgroup.clone_children memory.kmem.tcp.max_usage_in_bytes memory.oom_control
cgroup.event_control memory.kmem.tcp.usage_in_bytes memory.pressure_level
cgroup.procs memory.kmem.usage_in_bytes memory.soft_limit_in_bytes
memory.failcnt memory.limit_in_bytes memory.stat
memory.force_empty memory.max_usage_in_bytes memory.swappiness
memory.kmem.failcnt memory.memsw.failcnt memory.usage_in_bytes
memory.kmem.limit_in_bytes memory.memsw.limit_in_bytes memory.use_hierarchy
memory.kmem.max_usage_in_bytes memory.memsw.max_usage_in_bytes notify_on_release
memory.kmem.slabinfo memory.memsw.usage_in_bytes tasks
memory.kmem.tcp.failcnt memory.move_charge_at_immigrate
memory.kmem.tcp.limit_in_bytes memory.numa_stat
[root@node11 e1063b319bc2f1f798e07d5dcb24e15e9a361b758f5eb8997a18ff83aef0d0e0]# cat memory.limit_in_bytes
209715200
新建一个目录会自动复制父级目录的东西;
[root@node11 cgroup]# cd memory/
[root@node11 memory]# ls
cgroup.clone_children memory.kmem.tcp.limit_in_bytes memory.oom_control
cgroup.event_control memory.kmem.tcp.max_usage_in_bytes memory.pressure_level
cgroup.procs memory.kmem.tcp.usage_in_bytes memory.soft_limit_in_bytes
cgroup.sane_behavior memory.kmem.usage_in_bytes memory.stat
docker memory.limit_in_bytes memory.swappiness
memory.failcnt memory.max_usage_in_bytes memory.usage_in_bytes
memory.force_empty memory.memsw.failcnt memory.use_hierarchy
memory.kmem.failcnt memory.memsw.limit_in_bytes notify_on_release
memory.kmem.limit_in_bytes memory.memsw.max_usage_in_bytes release_agent
memory.kmem.max_usage_in_bytes memory.memsw.usage_in_bytes system.slice
memory.kmem.slabinfo memory.move_charge_at_immigrate tasks
memory.kmem.tcp.failcnt memory.numa_stat user.slice
[root@node11 memory]# mkdir x1
[root@node11 memory]# cd x1
[root@node11 x1]# ls
cgroup.clone_children memory.kmem.tcp.max_usage_in_bytes memory.oom_control
cgroup.event_control memory.kmem.tcp.usage_in_bytes memory.pressure_level
cgroup.procs memory.kmem.usage_in_bytes memory.soft_limit_in_bytes
memory.failcnt memory.limit_in_bytes memory.stat
memory.force_empty memory.max_usage_in_bytes memory.swappiness
memory.kmem.failcnt memory.memsw.failcnt memory.usage_in_bytes
memory.kmem.limit_in_bytes memory.memsw.limit_in_bytes memory.use_hierarchy
memory.kmem.max_usage_in_bytes memory.memsw.max_usage_in_bytes notify_on_release
memory.kmem.slabinfo memory.memsw.usage_in_bytes tasks
memory.kmem.tcp.failcnt memory.move_charge_at_immigrate
memory.kmem.tcp.limit_in_bytes memory.numa_stat
[root@node11 x1]# cat memory.limit_in_bytes
9223372036854771712
[root@node11 x1]# echo 209715200 > memory.limit_in_bytes
[root@node11 x1]# cat memory.limit_in_bytes
209715200
[root@node11 x1]# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/mapper/rhel-root 28289540 5737792 22551748 21% /
devtmpfs 485764 0 485764 0% /dev
tmpfs 497948 0 497948 0% /dev/shm
tmpfs 497948 20552 477396 5% /run
tmpfs 497948 0 497948 0% /sys/fs/cgroup
/dev/sda1 1038336 138088 900248 14% /boot
/dev/sr0 4391278 4391278 0 100% /rhel7.6
tmpfs 99592 0 99592 0% /run/user/0
overlay 28289540 5737792 22551748 21% /var/lib/docker/overlay2/87dda0eabfc51f667700ee1cce1f193fe5972180fcf9d842dc2cf1ca44276627/merged
[root@node11 x1]# cd /dev/shm ##该目录会自动挂载物理内存一半
[root@node11 shm]# dd if=/dev/zero of=bigfile bs=1M count=300
300+0 records in
300+0 records out
314572800 bytes (315 MB) copied, 0.59594 s, 528 MB/s
[root@node11 shm]# free -m
total used free shared buff/cache available
Mem: 1996 282 863 320 850 1292
Swap: 0 0 0
[root@node11 shm]# rm -f bigfile
[root@node11 shm]# free -m
total used free shared buff/cache available
Mem: 1996 282 1163 20 550 1592
Swap: 0 0 0
调用指定的身份来查看其内存所做限制使用情况;可以看到大于256 M 时还是做执行了,因为其在 swap 分区做了一部分的缓存;
[root@node11 shm]# yum install -y libcgroup-tools.x86_64
[root@node11 shm]# cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
300+0 records in
300+0 records out
314572800 bytes (315 MB) copied, 0.552017 s, 570 MB/s
[root@node11 shm]# free -m
total used free shared buff/cache available
Mem: 1998 162 1006 270 829 1403
Swap: 2047 46 2001
对 swap 分区限制,将执定使用特定的身份来测试;将内存和swap 的内存总共限制为200M;
[root@node11 shm]# cd /sys/fs/cgroup/memory/x1
[root@node11 x1]# cat memory.limit_in_bytes
209715200
[root@node11 x1]# cd /dev/shm/
[root@node11 shm]# ls
bigfile
[root@node11 shm]# rm -rf bigfile
[root@node11 shm]# cd -
/sys/fs/cgroup/memory/x1
[root@node11 x1]# echo 209715200 > memory.memsw.limit_in_bytes
[root@node11 x1]# cat memory.memsw.limit_in_bytes
209715200
[root@node11 x1]# cd /dev/shm/
[root@node11 shm]# cgexec -g memory:x1 dd if=/dev/zero of=bigfile bs=1M count=300
Killed
[root@node11 shm]# free -m
total used free shared buff/cache available
Mem: 1998 161 1006 271 830 1403
Swap: 2047 0 20470
3).Block IO限制
docker run -it --device-write-bps /dev/sda:30MB ubuntu
–device-write-bps限制写设备的bps
目前的block IO限制只对direct IO有效。(不使用文件缓存)
运行容器时,设定其写入速度为 30M;
[root@node11 ~]# docker run -it --rm --device-write-bps /dev/sda:30M centos:7
\\[root@6a44c2cefda6 /]# dd if=/dev/zero of=bigfile bs=1M count=100 oflag=direct
100+0 records in
100+0 records out
104857600 bytes (105 MB) copied, 3.31943 s, 31.6 MB/s
3. docker 安全加固
利用LXCFS增强docker容器隔离性和资源可见性。
安装该软件包:
[root@node11 ~]# yum install lxcfs-2.0.5-3.el7.centos.x86_64.rpm -y
[root@node11 ~]# lxcfs /var/lib/lxcfs/ &
[1] 39450
[root@node11 ~]# hierarchies:
0: fd: 5: perf_event
1: fd: 6: hugetlb
2: fd: 7: blkio
3: fd: 8: memory
4: fd: 9: pids
5: fd: 10: cpuset
6: fd: 11: net_prio,net_cls
7: fd: 12: freezer
8: fd: 13: cpuacct,cpu
9: fd: 14: devices
10: fd: 15: name=systemd
[root@node11 ~]# cd /var/lib/lxcfs/
[root@node11 lxcfs]# ls
cgroup proc
[root@node11 lxcfs]# cd cgroup/
[root@node11 cgroup]# ls
blkio cpuset freezer memory net_prio,net_cls pids
cpuacct,cpu devices hugetlb name=systemd perf_event
[root@node11 cgroup]# cd ..
[root@node11 lxcfs]# cd proc
[root@node11 proc]# ls
cpuinfo diskstats meminfo stat swaps uptime
下载 ubuntu 镜像来测试;
运行测试:
[root@node11 proc]# docker run -it -m 256m \
> -v /var/lib/lxcfs/proc/cpuinfo:/proc/cpuinfo:rw \
> -v /var/lib/lxcfs/proc/diskstats:/proc/diskstats:rw \
> -v /var/lib/lxcfs/proc/meminfo:/proc/meminfo:rw \
> -v /var/lib/lxcfs/proc/stat:/proc/stat:rw \
> -v /var/lib/lxcfs/proc/swaps:/proc/swaps:rw \
> -v /var/lib/lxcfs/proc/uptime:/proc/uptime:rw \
> centos:7
[root@65bd6261a5cb /]# free -m
total used free shared buff/cache available
Mem: 256 3 252 19 0 252
Swap: 256 0 256
设置特权级运行的容器:–privileged=true
有的时候我们需要容器具备更多的权限,比如操作内核模块,控制swap交换分区,挂载USB磁盘,修改MAC地址等。
[root@node11 ~]# docker run -it --rm busybox
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
186: eth0@if187: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
/ # ip link set down eth0
ip: SIOCSIFFLAGS: Operation not permitted
/ # id
uid=0(root) gid=0(root) groups=10(wheel)
/ #
[root@node11 ~]# docker run -it --rm --privileged=true busybox
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
188: eth0@if189: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
/ # ip link set down eth0
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
188: eth0@if189: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
/ #
设置容器白名单:–cap-add
–privileged=true 的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。此时Docker 提供了权限白名单的机制,使用–cap-add添加必要的权限。
capabilities手册地址:
[root@node11 ~]# docker run -it --rm --cap-add NET_ADMIN busybox
/ # fdisk -l
/ # ip addr add 192.168.10.10/24 dev ens33
ip: can't find device 'ens33'
/ # ip addr add 192.168.10.10/24 dev eth0
/ # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
190: eth0@if191: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
inet 192.168.10.10/24 scope global eth0
valid_lft forever preferred_lft forever
/ #
4. 总结
- 以上了解了 docker 的安全现状,虽然还是有很多没有完善的地方,但不能否认 docker 依然是当前最安全的容器技术。
Docker安全的顶尖开源工具:
Docker Bench for Security 对照安全基准审计Docker容器的脚本
Clair API驱动的静态容器安全分析工具,拥有庞大的CVE数据库
Cilium 内核层可感知API的网络和安全工具
Anchore 使用CVE数据和用户定义的策略检查容器安全的工具
OpenSCAP Workbench 用于为各种平台创建和维护安全策略的环境
Dagda 用于在Docker容器中扫描漏洞、特洛伊木马、病毒和恶意软件的工具
Notary 使用服务器加强容器安全的框架,用于以加密方式委派责任
Sysdig Falco 提供了行为活动监控,可深入了解容器