Docker容器技术安全

Docker容器技术安全

来源：Docker容器安全监控系统设计与实现_简智强

   云计算的迅猛发展伴随着云安全的出现，然而云安全面临的问题包括数据丢失或泄漏，账户、服务的通信劫持，不安全的应用程序接口，内部人员的安全威胁，漏洞利用和未知风险等。随着Docker 容器技术被各大厂商应用到其内部云平台架构中，带给云安全的未知风险和漏洞利用威胁也随之显著增强。Docker 团队把简化安全配置、内置安全能力作为发展的重要方向，在 Linux 内核安全特性的基础上提供资源限制和安全隔离，并逐步增添了容器的镜像签名校验，引入了 TUF可信镜像升级框架和 DCT 来加强安全建设。
   目前针对容器安全的研究主要集中在容器本身的安全机制和其与宿主机的安全关系等方面。然而容器所属的生态系统包括容器，各种运行库和其它相关开源项目，它们都是高度自动化的。尤其是容器内自动化部署解决方案就是为了加快代码开发和部署过程，这样的解决方案包含运行在不同平台的、具有不同镜像提供者的、第三方组成的供应链结构，加强了对数据完整性和可靠性的要求，这也可能导致难以避免的漏洞发生，恶意用户利用漏洞可渗透云平台。
   Docker安全依赖三个因素：Docker守护进程管理的用户层进程的隔离；利用内核机制实现这种隔离；容器内外的网络安全。
   基于其共享宿主机内核的特性，可利用内核漏洞发起针对容器的攻击，一旦恶意用户在容器内发起有效的攻击就可能使宿主机宕机，甚至从容器内逃逸至宿主机并获得宿主机控制权限，将影响其他容器和整个系统的可靠运行。不过只要运行安全可靠的镜像，提供合理的安全机制，同时做好安全防护措施和监控措施，Docker 仍然是一个实用的虚拟化工具。
   目前，公网上的拒绝服务攻击防御已经有很多成熟产品，这对传统网络有较好的防御效果，但是随着虚拟化技术的变革和容器技术的兴起，攻击数据包可能不完全通过物理网卡就可以攻击同一宿主机下的其它容器，所以传统拒绝服务预防措施对容器内和容器间的 DoS 攻击不会有太好效果。如果在同一宿主机中某一容器内的程序申请过大内存资源，或抢占大部分带宽，将会影响其它容器的使用，例如容器内发起一个无限申请内存的进程，或大流量的下载程序都会影响其它交互式应用的访问。
   因此，Docker 容器的脆弱性，攻击方法以及安全防御方案成为当下容器研究的热点。针对容器内的拒绝服务攻击和逃逸攻击的特殊性，难以预测性和高破坏性，对 Docker 容器资源和进程行为监控的主要意义在于及时发现并阻止威胁行为，将不可预料的攻击的迫坏程度降到最低。