你好,游客 登录 注册 搜索
背景:
阅读新闻

Docker安全扫描

[日期:2016-05-16] 来源:infoq.com  作者: Chris Swan ,译者 张卫滨 [字体: ]

Docker Inc宣布正式提供Docker安全扫描(Docker Security Scanning)功能,之前它被称为Nautilus项目。这个功能的发布还伴随着CIS Docker Security Benchmark的更新,使其与Docker 1.11.0保持一致,Docker Bench工具也进行了更新,它可以检查主机和daemon配置是否匹配推荐的安全基准。

从2016年5月10日开始,Docker Cloud的私有repo客户能够在有限的时间范围内免费体验安全扫描的特性,并且将会迅速扩展至所有的Docker Cloud用户。安全扫描也将会成为Docker Datacenter的一个集成特性。扫描将会集成到“构建、传送、运行”生命周期之中,其过程会分为如下四步:

  1. 扫描基础镜像,签名并将其推送至中央仓库(在这里,系统会与Docker Content Trust集成);
  2. 开发人员添加安全的基础镜像并推送完整的应用来进行扫描。创建一份物料清单(bill of materials,BOM)并列出要修复的漏洞;
  3. BOM达到就绪(satisfactory)状态之后,应用镜像会进行签名,这样就可以部署到生产环境了(也就是部署到配置已经得到Docker Bench保护的主机上,这些主机也会信任安全的repo);
  4. 当新的漏洞添加到扫描数据库时,系统会通知repo中已部署镜像的问题。这样就可以创建新的镜像,有问题的容器就可以被新打上补丁的容器所替代。

安全扫描引擎能够在静态链接的二进制文件(statically linked binaries)中找到对安全至关重要的软件,如OpenSSL,所以它不仅仅是扫描文件并创建哈希。但是,它依赖于特定语言的支持模块,因此现在还不能用于Golang的静态二进制文件。

据Docker Inc的安全主管Nathan McCauley介绍,扫描技术已经保护了对Docker Hub“超过4亿次的pull”请求,但是他并没有提及在这些请求中包含了多少已知有漏洞的软件。McCauley接着说官方的Docker镜像将会全部使用安全扫描,他们致力于“更及时地”修复新发现的问题。

CIS Docker Security Benchmark最初是在一年前发布的,它是与Docker 1.6共同使用的。McCauley并不期望Benchmark会与Docker引擎的发布保持相同的节奏,但是Docker Bench工具的更新会比Benchmark更加频繁,以便于跟踪新的功能。

McCauley还非常热情地介绍了Docker Trusted Registry(DTR)基于角色的访问控制(Role Based Access Control,RBAC)功能以及Docker Universal Control Plane(UCP)产品。基于属性的访问控制(Attribute Based Access Control,ABAC)功能可能也会推出,因为有一些客户要求该功能。这些安全功能的发布有一部分是提供给所有的Docker用户的,不过他们主要的关注点在于收费(premium)的产品和服务,Docker Inc似乎专注于管理和安全功能市场,这些功能构建在大量流行的底层开源项目之上。

更多Docker相关教程见以下内容: 

Docker安装应用(CentOS 6.5_x64) http://www.linuxidc.com/Linux/2014-07/104595.htm 

Ubuntu 14.04安装Docker  http://www.linuxidc.com/linux/2014-08/105656.htm 

Ubuntu使用VNC运行基于Docker的桌面系统  http://www.linuxidc.com/Linux/2015-08/121170.htm 

阿里云CentOS 6.5 模板上安装 Docker http://www.linuxidc.com/Linux/2014-11/109107.htm 

Ubuntu 15.04下安装Docker  http://www.linuxidc.com/Linux/2015-07/120444.htm 

在Ubuntu Trusty 14.04 (LTS) (64-bit)安装Docker http://www.linuxidc.com/Linux/2014-10/108184.htm 

在 Ubuntu 15.04 上如何安装Docker及基本用法 http://www.linuxidc.com/Linux/2015-09/122885.htm 

Docker 的详细介绍请点这里
Docker 的下载地址请点这里 

查看英文原文Docker Security Scanning

本文永久更新链接地址http://www.linuxidc.com/Linux/2016-05/131406.htm

linux
相关资讯       Docker安全  Docker安全扫描 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款