Docker安全扫描

Docker Inc宣布正式提供Docker安全扫描(Docker Security Scanning)功能,之前它被称为Nautilus项目。这个功能的发布还伴随着CIS Docker Security Benchmark的更新,使其与Docker 1.11.0保持一致,Docker Bench工具也进行了更新,它可以检查主机和daemon配置是否匹配推荐的安全基准。

从2016年5月10日开始,Docker Cloud的私有repo客户能够在有限的时间范围内免费体验安全扫描的特性,并且将会迅速扩展至所有的Docker Cloud用户。安全扫描也将会成为Docker Datacenter的一个集成特性。扫描将会集成到“构建、传送、运行”生命周期之中,其过程会分为如下四步:

  1. 扫描基础镜像,签名并将其推送至中央仓库(在这里,系统会与Docker Content Trust集成);
  2. 开发人员添加安全的基础镜像并推送完整的应用来进行扫描。创建一份物料清单(bill of materials,BOM)并列出要修复的漏洞;
  3. BOM达到就绪(satisfactory)状态之后,应用镜像会进行签名,这样就可以部署到生产环境了(也就是部署到配置已经得到Docker Bench保护的主机上,这些主机也会信任安全的repo);
  4. 当新的漏洞添加到扫描数据库时,系统会通知repo中已部署镜像的问题。这样就可以创建新的镜像,有问题的容器就可以被新打上补丁的容器所替代。

安全扫描引擎能够在静态链接的二进制文件(statically linked binaries)中找到对安全至关重要的软件,如OpenSSL,所以它不仅仅是扫描文件并创建哈希。但是,它依赖于特定语言的支持模块,因此现在还不能用于Golang的静态二进制文件。

据Docker Inc的安全主管Nathan McCauley介绍,扫描技术已经保护了对Docker Hub“超过4亿次的pull”请求,但是他并没有提及在这些请求中包含了多少已知有漏洞的软件。McCauley接着说官方的Docker镜像将会全部使用安全扫描,他们致力于“更及时地”修复新发现的问题。

CIS Docker Security Benchmark最初是在一年前发布的,它是与Docker 1.6共同使用的。McCauley并不期望Benchmark会与Docker引擎的发布保持相同的节奏,但是Docker Bench工具的更新会比Benchmark更加频繁,以便于跟踪新的功能。

McCauley还非常热情地介绍了Docker Trusted Registry(DTR)基于角色的访问控制(Role Based Access Control,RBAC)功能以及Docker Universal Control Plane(UCP)产品。基于属性的访问控制(Attribute Based Access Control,ABAC)功能可能也会推出,因为有一些客户要求该功能。这些安全功能的发布有一部分是提供给所有的Docker用户的,不过他们主要的关注点在于收费(premium)的产品和服务,Docker Inc似乎专注于管理和安全功能市场,这些功能构建在大量流行的底层开源项目之上。

查看英文原文:Docker Security Scanning

你可能感兴趣的:(Docker安全扫描)