肖恩·迈克尔·科尔纳| 2015 年 5 月 13 日
今年3月,Nathan McCauley和Diogo Monica加入Docker,领导容器虚拟化安全团队。现在,仅仅两个月之后,他们的工作的首批成果就被记录在非营利组织互联网安全中心(CIS)针对 Docker Engine 1.6 版本的新标准法规中。
McCauley 与 VMware、Rakuten、Cognitive Scale 和国际证券交易所的代表一起,与 CIS 合作制定了一项政策,概述了安全部署 Docker Engine 1.6 版的最佳实践。 Docker Engine 是 Docker 容器虚拟化的核心组件。 1.6版本于4月16日发布,其主要创新是针对容器应用的特殊安全标签机制。
Docker Engine 1.6 的基本 CIS 规定不多不少,总共 119 页。
VMware 高级技术专家、CIS Docker 指南共同作者 Pravin Goyal 在博客文章中写道,该指南包含 84 条建议。
戈亚尔写道:“与任何此类文件一样,这项安全法规的目的在于指定配置参数和部署安全解决方案的其他方面。” “该文档旨在为想要了解如何在生产 Linux 环境中正确、安全地部署容器的用户提供具体的参考指南。”
该规范定义了Docker部署最佳实践的六 俄罗斯电报数据 个关键部分。第一部分专门用于配置您计划部署 Docker Engine 的主机操作系统。 CIS 标准指南建议为容器使用单独的分区,并确保 Linux 内核更新到最新版本。
下一部分是配置实际运行 Docker Engine 的守护进程(系统进程)。 CIS 指南建议限制容器之间的网络流量并配置 TLS(传输层安全性)身份验证。第三部分讨论配置 Docker 守护程序以设置所需的文件权限集。
第四部分包含有关创建容器镜像的建议 - 特别是,您不应在容器中包含不必要的包。第五部分讨论了容器执行环境,建议在Linux中使用严格的权限控制机制,特别是SELinux(安全增强型LInux)和AppArmor。