容器安全简介-kOneio.PDF

容器安全简介 Docker 白皮书 译者：李毅 中国惠普大学资深培训专家 摘要 最近几年中软件开发方式的演进已经根本性地改变了应用程序。这些改变影 响了对于底层基础架构、工具以及流程 （管理整个生命周期）的需求。应用程 序从大型单体代码库转变成了一种由很多小型服务松散耦合而成的集合，人们 称之为微架构。在一种渴望的驱使下-用一种在基础架构间可以移植的新方式来 更快地交付更多软件 ，我们看到身边越来越多的敏捷组织从中收益，这些组织 囊括了初创企业和大型企业。 这些新的应用程序不仅行为不同而且他们的架构从根本上改变了它们是如何 随着时间的推移进行构建、部署、管理及安全防护的。不再需要在虚拟机 （VM ）或者裸机上以配置大型服务器来处理少量的大型负载，而代之以在一 组普通硬件之上运行小型应用程序集。通过在应用程序之间共享同一个 OS ， 容器升格为这些新应用程序的打包模型。较少的 OS 实例在主机资源、成本和 持续运维等方面为应用程序基础架构带来了明显的优势。 为了增强一个系统的弹性，关于应用程序安全的最佳实践长久以来都建议分 层的策略。在这篇论文中我们将介绍与 Linux 技术及 Docker 容器有关的安全 概念。 要点包括 ：  容器通过减少主机自身的暴露区域以及对应用程序与主机之间、应用程 序之间进行隔离实现了更多一层的防护，而这种隔离并没有使用更多的 底层基础架构资源。  容器和虚拟机（VMs ）可以部署在一起，从而为应用程序服务提供更多 的隔离及安全层级  容器的性质有利于快速、便捷的应用程序打补丁以及 OS 更新，应用程 序及基础架构的分层，有助于维持整体的安全合规性 Docker 概述 Docker 是一个用于构建、分发及运行分布式应用程序的开发平台。组织应 用 Docker 是为了简化并加速他们的应用开发和部署。Docker 可以很容易地把 分布式应用程序组合成轻量级的应用程序容器 ，它可以动态地调整而不会中断 应用程序并且可以顺场地在开发、测试和生产环境中移植，而这些环境则是运 行在一个数据中心或者不同云服务提供者的物理机或虚拟机上。 该平台的核心是 Docker Engine ，一个轻量级的应用程序运行环境，它也 提供了强大的工具来构建、分发和运行 Docker 应用程序容器。Docker Engine 可以安装到任何一个运行 Linux OS 的物理机、虚拟机及便携电脑之上 或者数据中心里、云服务提供者的服务器上。Docker 的容器模型允许多个隔 离的应用程序容器运行在同一个服务器上，从而更好地使用硬件资源并且降低 行为异常的应用程序对于其他应用程序及物理主机的影响。Docker 容器是基 于应用程序的映像而创建的，而这些映像是由一个称之为 Docker Hub 的注册 机 （registry ）负责存储、管理与发布。在 Docker Hub 上有对 Docker 用户 开放且来自社区和生态系统的公共、私有及官方映像仓库。 Docker Engine 使用客户端－服务器架构。一个 Docker 客户端与 Docker Engine 的守护进程通信，该守护进程负责为一个特定的应用程序服务完成构 建、分发和运行 Docker 容器的所有繁重工作。Docker 客户端可以是运行的一 个命令行工具或者通过 Docker API 集成到第三方应用程序中。客户端和守护 进程可以运行在相同的系统中，但是客户端也可以远程地访问 Docker Engines。所有客户端与守护进程之间的通讯可以使用TLS 进行防护并且借助 RESTful API 来实现。Docker 是使用 Go 语言开发的，守护进程使用多个库和 内核功能来实现它的设计目标。 Linux 技术最佳实践及 Docker 的缺省安全 容器技术以两种方式提升了应用程序的安全性。首先通过使用应用程序之间 和应用程序与主机之间的隔离层来实现。第二，它通过限制对主机的访问来降 低主机的暴露区域来保护主机以及其上的容器。Docker 容器构建在 Linux 的 最佳实践之上，从而提供了更强的缺省配置和未来能够降低风险的可配置设 置。 最佳实践对于 Linux 系统管理员的建议包括应用最少权限原则。系统管理员 长久以来都被要求使用 chroot 流程并且为部署的应用程序创建资源限制。 Docker 容器模型通过在他们自己的根（root ）文件系统中运行应用程序、允