“换句话说,今年创建的图片中,每四张中就有三张存在相对容易被利用的漏洞,可能会造成巨大影响,”该网站的创始人吉夫·特纳(Yoshio Turner)在报告中写道。
今年8月,Docker宣布发布Docker Content Trust,这是容器引擎中的一个新特性,可以验证Docker映像的发布者。
Docker的McCauley说:“它提供了加密的保证,真正超越了所有其他安全的软件发布机制。”“它为你下载的内容提供了坚实的基础,这样你就知道它来自你期望它来自的人。”
例如,Red Hat的Bressers表示,它有自己的容器存储库,可以在容器上签名。
他说:“我们说,这个集装箱来自红帽公司,我们知道里面有什么,而且已经进行了适当的更新。”“人们认为他们可以从互联网上随机下载容器并运行它们。那不是聪明。如果您运行的是不受信任的容器,那么您可能会遇到麻烦。即使它是一个受信任的容器,也要确保安装了安全更新。”
安全与管理
根据Docker的McCauley,现有的安全工具应该能够像在常规应用程序上一样在容器上工作,并且还建议公司部署Linux安全最佳实践。
今年早些时候,Docker与信息安全中心合作发布了一份详细的安全基准最佳实践文档,以及一个名为Docker Bench的工具,该工具根据这些建议检查主机并生成状态报告。
但是,对于生产部署,组织需要能够使用的工具,这些工具类似于虚拟化中已经存在的管理和安全工具,虚拟化安全供应商的总裁和联合创始人Eric Chiu说HyTrust。
“基于角色的访问控制、审计质量的日志记录和监视、数据加密、容器加固——所有这些都是必需的,”他说。
此外,专家说,容器技术使得很难看到发生了什么,而遗留系统无法做到这一点。
“对容器缺乏可见性意味着更难观察和管理容器内部发生的事情,”该公司首席执行官Loris Degioanni表示Sysdig是提供容器管理工具的新供应商之一。
这个领域的另一个新供应商是自动锁今年5月,该公司退出了隐身模式。
“一旦你开发人员开始运行容器,它安全突然变得盲目,很多事情的发生,“至岑溪Wang表示公司的首席战略官。
例如,您想要运行杀毒软件。根据Wang的说法,它不会在容器内部运行,如果它在容器外部运行,在虚拟机上,它就不能看到容器内部。
Twistlock提供了可以在多个位置添加安全性的工具。它可以扫描公司的容器存储库,可以在容器装载时扫描容器,并防止脆弱的容器启动。
“例如,如果允许容器内的应用程序以根用户身份运行,我们可以说这违反了策略并阻止它运行,”她说。
Twistlock可以监视容器是否正在与已知的命令和控制主机通信,并报告它、切断通信通道或完全关闭容器。
该公司还监视容器和底层Docker基础设施之间的通信,以检测试图发出特权命令或以其他方式从容器中挖出的应用程序。
市场前景
据IDC分析师Gary Chen说,集装箱技术仍然是一个新事物,大多数公司仍在研究它们能提供什么价值,以及它们将如何使用这些价值。
他表示:“如今,这并不是一个真正的大市场。”“现在还处于早期阶段。一旦开始将容器投入运营,就需要安全性。”
一旦容器得到更广泛的部署,这种情况就会改变。
“如果大公司最终进入这个市场,我不会感到惊讶,”他说。
据Docker的数据,目前已有超过8亿个集装箱被数万家企业下载。
但研究公司安全和风险管理研究主管弗里奇(Joerg Fritsch)说,很难计算这个市场的美元价值Gartner。
“Docker还没有找到将他们的软件货币化的方法,”他说,在这个领域提供服务的其他厂商非常少。他估计市场规模在2亿或3亿美元左右,其中很大一部分来自单一的服务供应商Odin,它曾是虚拟化公司Parallels的服务提供商。
他说,除了Odin之外,这个领域的大多数供应商,包括Docker本身,都是相对较新的初创企业,很少有商业管理和安全工具可供企业客户使用。
“当你从初创公司购买产品时,你总是会面临这样的商业风险,即初创公司会在发展过程中改变自己的身份,”费尔奇说。
这篇文章,“随着集装箱的起飞,安全问题也随之而起”最初发表于方案 .