摘要:然而,當(dāng)享受帶來擴(kuò)展性資源利用率和彈性提升的同時(shí),其所面臨的安全隱患同樣值得重視,近日在上撰文進(jìn)行了總結(jié)。然而除下容器與主系統(tǒng)完全解耦,這種使用就會(huì)存在潛在的安全隱患。在回應(yīng)有關(guān)的安全問題時(shí),這里詳細(xì)討論了如何緩解的安全問題。
【編者按】對(duì)比虛擬機(jī),Docker 在體量等方面擁有顯著的優(yōu)勢(shì)。然而,當(dāng) DevOps 享受 Docker 帶來擴(kuò)展性、資源利用率和彈性提升的同時(shí),其所面臨的安全隱患同樣值得重視,近日 Chris Taschner 在 SEI 上撰文進(jìn)行了總結(jié)。本文系 OneAPM 工程師編譯整理。
基于容器的虛擬化平臺(tái)提供了一種方式在隔離的實(shí)例中運(yùn)行多個(gè)應(yīng)用程序。容器技術(shù)可以為 DevOps 提供顯著的優(yōu)勢(shì),包括提高系統(tǒng)的擴(kuò)展性、資源利用率和彈性。然而除下容器與主系統(tǒng)完全解耦,這種使用就會(huì)存在潛在的安全隱患。因此,這篇博文主要描述了為什么系統(tǒng)管理員應(yīng)該密切關(guān)在容器中運(yùn)行應(yīng)用所采納的權(quán)限等級(jí),以及用戶訪問主機(jī)系統(tǒng)的權(quán)限。
容器已經(jīng)成為 DevOps 中的新熱點(diǎn)技術(shù)。特別是 Docker 公司,已經(jīng)成為了提供容器技術(shù)服務(wù)的領(lǐng)頭公司。使用 Docker 平臺(tái),應(yīng)用程序極其依賴可以被打包進(jìn)一個(gè)單元,也就是所謂的鏡像。隨后,Docker 就可以運(yùn)行這個(gè)鏡像的實(shí)例,每個(gè)鏡像的實(shí)例都是在駐留在容器中。
Docker 正成為 DevOps 的代名詞。如果你還不熟悉容器的優(yōu)勢(shì)的話,概括地說,它們包括了可使用的鏡像和易于使用的公共庫、鏡像版本,以及 Docker 的思想。(欲了解更多信息,請(qǐng)參見 devops.com 上的 Three Reasons We Use Docker)。
在談到大小時(shí),容器具有很多優(yōu)勢(shì)。不像虛擬機(jī),一個(gè)容器不需要運(yùn)行整個(gè)操作系統(tǒng),或者對(duì)系統(tǒng)的硬件進(jìn)行拷貝。容器僅僅只需要足夠的操作系統(tǒng)和硬件信息資源來運(yùn)行它負(fù)責(zé)托管的應(yīng)用。所以,容器所消耗的資源比虛擬機(jī)小很多,因此同一主機(jī)上可以跑的容器肯定比虛擬機(jī)多。
而在最小化需要運(yùn)行的容器上,開發(fā)者需要做好足夠的權(quán)衡。其中一個(gè)就是減少容器與系統(tǒng)之間的分離度。與此相反,虛擬機(jī)與主機(jī)的分離性比容器的更高。Docker 用戶需要 root 用戶權(quán)限去運(yùn)行容器,如果 Docker 用戶不知道容器中運(yùn)行的是什么,這可能會(huì)引發(fā)問題。通常,那些 repository 都是未經(jīng)過審核的,這意味著任何人都可以創(chuàng)建和上傳鏡像。顯然,對(duì)從互聯(lián)網(wǎng)上下載下來的容器給以太多的信任會(huì)引發(fā)安全問題。
共享命名空間的問題通常是 Docker 的最大問題。命名空間是系統(tǒng)內(nèi)核所創(chuàng)建的組,它通常會(huì)為不同源和區(qū)域指定不同的訪問級(jí)別。而究于擴(kuò)展性,在 Docker 中并沒有為容器提供不同的命名空間——倘若有數(shù)百個(gè)容器在運(yùn)行,那么每個(gè)容器都需要有獨(dú)立的命名空間。而且,如果一個(gè)容器想要共享存儲(chǔ),那么所有共享這個(gè)存儲(chǔ)的命名空間必須使用顯式訪問。
在回應(yīng)有關(guān) Docker 的安全問題時(shí),這里詳細(xì)討論了如何緩解 Docker 的安全問題。緩解方法的建議包括了限制直接訪問主機(jī)和在容器中運(yùn)行應(yīng)用的權(quán)限。
除了 Doker 容器的安全指導(dǎo),還有其它在確保容器安全方面的建議。共享命名空間的一個(gè)潛在解決方案是使用 Seccomp,它是一個(gè)進(jìn)程處理工具。Daniel Walsh 在 opensource.com 上詳細(xì)地介紹了這項(xiàng)工作。
管理員必須清楚容器中運(yùn)行的究竟是什么。從互聯(lián)網(wǎng)上下載來的鏡像應(yīng)該仔細(xì)審核,然后才在敏感的環(huán)境中運(yùn)行。一般規(guī)則,不像字面意義,容器不應(yīng)是包含在容器內(nèi)運(yùn)行的應(yīng)用程序。
本文系 OneAPM 工程師編譯整理。想閱讀更多技術(shù)文章,請(qǐng)?jiān)L問 OneAPM 官方博客。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/26451.html
摘要:騰訊云捕獲多起反射型攻擊截止月日,騰訊云已捕獲到多起利用發(fā)起的反射型攻擊。騰訊云數(shù)據(jù)監(jiān)測(cè)顯示,黑產(chǎn)針對(duì)騰訊云業(yè)務(wù)發(fā)起的反射型攻擊從月日起進(jìn)入活躍期,在月日達(dá)到活躍高峰,隨后攻擊次數(shù)明顯減少,到月日再次出現(xiàn)攻擊高峰。 歡迎大家前往騰訊云+社區(qū),獲取更多騰訊海量技術(shù)實(shí)踐干貨哦~ 本文由騰訊游戲云發(fā)表于云+社區(qū)專欄 背景:Memcached攻擊創(chuàng)造DDoS攻擊流量紀(jì)錄 近日,利用Memca...
摘要:環(huán)境復(fù)雜性生態(tài)系統(tǒng)易變性跨不同分布式基礎(chǔ)架構(gòu)的部署本文將為你解析生產(chǎn)環(huán)境部署容器的五大挑戰(zhàn)及應(yīng)對(duì)之策。因此,在整個(gè)生產(chǎn)環(huán)境中創(chuàng)建監(jiān)視和銷毀的組件需求總量呈指數(shù)級(jí)增長(zhǎng),從而顯著增加了基于容器的管理環(huán)境的復(fù)雜性。 Docker容器使應(yīng)用程序開發(fā)變得更容易,但在生產(chǎn)中部署容器可能會(huì)很難。環(huán)境復(fù)雜性、生態(tài)系統(tǒng)易變性、跨不同分布式基礎(chǔ)架構(gòu)的部署......本文將為你解析生產(chǎn)環(huán)境部署容器的五大挑戰(zhàn)...
摘要:騰訊云捕獲多起反射型攻擊截止月日,騰訊云已捕獲到多起利用發(fā)起的反射型攻擊。騰訊云數(shù)據(jù)監(jiān)測(cè)顯示,黑產(chǎn)針對(duì)騰訊云業(yè)務(wù)發(fā)起的反射型攻擊從月日起進(jìn)入活躍期,在月日達(dá)到活躍高峰,隨后攻擊次數(shù)明顯減少,到月日再次出現(xiàn)攻擊高峰。 歡迎大家前往騰訊云+社區(qū),獲取更多騰訊海量技術(shù)實(shí)踐干貨哦~ 作者:騰訊游戲云 背景:Memcached攻擊創(chuàng)造DDoS攻擊流量紀(jì)錄 近日,利用Memcached服務(wù)器實(shí)施...
摘要:幫你揭開擋在你與容器云之間的那層神秘面紗,看看你的企業(yè)究竟適不適合選用基于的容器云管理平臺(tái)。那么,選擇什么樣的容器云平臺(tái)就已經(jīng)是箭在弦上的大事了。 本文簡(jiǎn)單粗暴,直戳淚點(diǎn),ho,不,是直戳痛點(diǎn)。幫你揭開擋在你與容器云之間的那層神秘面紗,看看你的企業(yè)究竟適不適合選用基于K8S的容器云管理平臺(tái)。 企業(yè)對(duì)容器云平臺(tái)的需求現(xiàn)狀是什么? 眾所周知,Docker很火,一大批互聯(lián)網(wǎng)公司早已領(lǐng)先一步,...
閱讀 591·2021-11-15 11:38
閱讀 1174·2021-10-11 10:59
閱讀 3491·2021-09-07 09:58
閱讀 479·2019-08-30 15:44
閱讀 3518·2019-08-28 18:14
閱讀 2599·2019-08-26 13:32
閱讀 3514·2019-08-26 12:23
閱讀 2413·2019-08-26 10:59