DockerCon Day 2:安全至上

Docker全球开发者大会盛大开幕,来自世界各地的开发者们齐聚一堂,共同分享他们的Docker之旅。DaoCloud作为来自中国的创业公司,也荣幸地加入到这场盛会。所谓“独乐乐不如众乐乐”,DaoCloud团队将在DockerCon现场播报,为你带来最新鲜热辣的话题分享,与你共同感受Docker之热力和魅力。


DockerCon Day2的General Session之后,Docker公司的两位安全大拿 Monica以及McCauley为大家带来容器安全的话题,他们的topic是Least-privildge Microservice。看图不难发现,他们绝对是一个帅气,一个飘逸。

Monica开门见山,直接提出提纲挈领的观点:Docker容器的安全,必须保证容器内部的每一个进程能访问的资源应该都必须在合法的权范畴之内。

从历史发展以及未来的走向来分析,Monica认为对于系统以及软件的演进可以分为4个阶段:

  • 第一阶段,1990时代的单例模式

  • 第二阶段,2000时代紧耦合模式

  • 第三阶段,2010时代微服务模式

  • 第四阶段,当今以及未来的Docker模式

宏观而言,历史的发展以及在架构安全的方面迈进了很大的一步。

面对严肃的安全问题,Monica指出:从始至终,Docker的one process模式就很好的做到了隔离。

除此之外,Docker能提供的安全保障将涵盖以下7点:

  • namespace保障系统资源的隔离
  • cgroup完成进程组资源的限制
  • Linux的安全模块提供MAC(apparmor, SELinux)

  • capabilities将root的权限细分为多种类型
  • ulimit的功能更多维度的限制资源(docker 1.6之后支持)
  • user namespace保障容器内部的root在host上并非root(预计docker 1.8支持)
  • seccomp使得容器内进程受到系统调用权限的控制

另外,Docker在安全方面还做了以下工作:

  1. 降低镜像带来的安全风向

    • 设置更为精简的Linux发行版:
    • 移除不需要的package、用户以及二进制工具文件,
  2. 提出Tailored Profiles

    • 容器可以创建least-privildge的文件
    • 文件有能力随容器传递
    • 通过独立的文件配置表明所有的权限
    • 已经规划入runC
    • 描述所有的隔离特性

Tailored Profiles的展示如下图:

最后,Monica向整个Docker生态中对Docker安全贡献巨大的团队致敬,其中包括中国的企业——华为公司。

  • HuaWei在支持Docker的seccomp方面贡献有目共睹
  • IBM大力贡献Docker的user namespace的支持
  • Intel在Docker的bootchain方面投入效果可观
  • RedHat则在SELinux方面的贡献受到社区的肯定

作为第一个登上DockerCon安全话题舞台的中国企业,华为以自己的实力,赢得了全球开发者的尊重。

Leave a Reply

Your email address will not be published. Required fields are marked *