【MVP交流】docker容器未来应用安全与生态安全探讨？ >>话题热议中

↓↓↓

进入【MVP交流】专题页

【MVP简介】党超辉，某公司MVP认证专家/华为云MVP认证专家/CCSK云安全专家/CSDN学院培训讲师/CSDN博客专家。对传统企业安全需求有深刻理解，并对传统业务环境在当今网络安全背景下，所面临的安全挑战有着独到的见解，持续专注于广播电视行业网络安全技术研究工作。

       本期想与大家一同讨论下，关于与docker容器未来应用安全与生态安全探讨？ 欢迎大家与我一起交流，共同成长吧！

【背景介绍】

在如今云计算，大数据盛行的时代，从13年3月发布Docker1.0后直到今年，声势也是达到了前所未有的程度。之后更是出现Kubernetes，RedHat也是收购CentOS，发布了podman。各大云计算厂商更是出现眼花缭乱的基于容器服务的产品，开发者基于docker的开发、部署也是成为一项必备技能。

【技术详解】

什么是Docker呢？

Docker是一个用于开发，交付以及运行应用程序的开放平台。Docker使开发者可以将应用程序与基础架构进行分离，从而实现软件的快速交付。借助Docker，开发者们可以像管理应用程序一样管理基础架构。开发者可以通过Docker进行快速交付，测试和代码部署。这大大减少了编写代码与在生产环节实际部署代码之间的用时。

Docker容器有如下的优势：

1. 快速交付应用程序

a) Docker 容器允许开发者使用提供的应用程序或服务的本地容器在标准化环境中工作，从而简化了开发的生命周期。docker容器非常适合持续集成和持续交付（CI / CD）工作流程；

2. 响应式部署和扩展

a) Docker允许高度可移植的工作负载，其可以在各种系统，服务器或混合环境中运行。

b) Docker容器具有轻量级性的特点，可根据实际业务需求随时扩展或减少。

3. 在同一硬件上运行更多工作负载

a) Docker具有轻量级的特点，它为基于虚拟机管理程序的虚拟机提供了可行、经济、高效的替代方案，因此可以利用更多的计算能力来实现业务目标

1、您平常工作中有使用过Docker嘛？您知道Docker在安全隔离与访问方面都做了什么安全措施嘛？

2、我们都知道，运行一个容器的核心是Docker daemon，我们在Docker服务运行前，是需要root权限的，我们可以通过什么方式能有效的避免docker 以root运行的带来的安全隐患呢？

3、如今我们拉取docker镜像都是从docker hub上拉取的，而docker hub上的镜像很多都存在漏洞，包括平时常用的mysql，nginx等，那对于我们在docker hub上pull下来的镜像存在漏洞问题，我们如何解决漏洞问题，以此来保障容器安全性呢？

奖品区域

1、基础回帖奖：凡有效回帖者可获得20S豆奖励；（回帖内容与话题相关且为个人原创）

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复即可获得100S豆打赏！

3、参与幸运奖：本帖设置1000S豆回帖奖励，每次回复有机会获得20S豆，活动结束后，随机抽取2位幸运用户奖励【某公司定制鼠标垫】1份；

4、最佳回复奖：活动结束后，由话题发起人评选出2位最佳回复者，赠送热门学习书籍《Docker技术入门与实战》一本；

活动规则

• 用户在话题指定时间内可以选择感兴趣的讨论点进行回复，与MVP专家互动。
• 回复讨论需与话题相关，且要求分享原创经验，如讨论中无实质性内容或非原创经验分享，管理员将会判定为灌水，并进行删除处理。
• 如有恶意抄袭他人原创回复，以不良手段获取S豆奖励行为，一经发现，将取消其获得礼品资格，并对其账号进行严重警示。

  
  

  
  

  
  

  
  

  
  

  
  

  
  

  
  
  
  

1、您平常工作中有使用过Docker嘛？您知道Docker在安全隔离与访问方面都做了什么安全措施嘛？
用过，公司的WMS系统应用服务器上 docker ps -a


多租户权限管理，实现资源隔离，ingress egress创建安全组，macvlan基于二层隔离、Calico基于 BGP 协议的路由方案，支持细致的 ACL 控制，项目namespace，为 K8s 集群提供虚拟的隔离作用。
2、我们都知道，运行一个容器的核心是Docker daemon，我们在Docker服务运行前，是需要root权限的，我们可以通过什么方式能有效的避免docker 以root运行的带来的安全隐患呢？
将容器的root用户映射为主机的非root用户，允许守护进程以非root用户运行
3、如今我们拉取docker镜像都是从docker hub上拉取的，而docker hub上的镜像很多都存在漏洞，包括平时常用的mysql，nginx等，那对于我们在docker hub上pull下来的镜像存在漏洞问题，我们如何解决漏洞问题，以此来保障容器安全性呢？
用dockerbench来评估，然后生成报告。相信docker hub这个社区会慢慢变成一个树立标准的地方，会有更加完善的安全机制，让每一个人受益。

https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=123657

https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=123661

主题名字少了个D

1.您平常工作中有使用过Docker嘛？您知道Docker在安全隔离与访问方面都做了什么安全措施嘛？
用过几次，不是很多，光是Dos攻击这一块就有好多隔离，比如进程隔离、文件系统、IPC等等。内核漏洞容器攻击这一块，将容器卷设置为只读，是阻止的最好有效方法。暂时就说这么多吧
2.我们都知道，运行一个容器的核心是Docker daemon，我们在Docker服务运行前，是需要root权限的，我们可以通过什么方式能有效的避免docker 以root运行的带来的安全隐患呢？
用最小权限原则吧，只给与可信源访问权限。
3.如今我们拉取docker镜像都是从docker hub上拉取的，而docker hub上的镜像很多都存在漏洞，包括平时常用的mysql，nginx等，那对于我们在docker hub上pull下来的镜像存在漏洞问题，我们如何解决漏洞问题，以此来保障容器安全性呢？
我记得在码客文章上看过，大致和其他安全措施相同。
1、加强权限的隔离、访问控制的细粒度、操作日志审计
2、镜像的扫描工具（Clair等等）
3、签名。
4、镜像Minimal；重点是不要乱下镜像。

Docker限流了，有撒好招吗。哈哈哈，不喜欢用国内的镜像源，某公司的内部镜像源似乎也不会分享给我

不知道我服有没有考虑到将docker用在桌面云上面。目前的桌面云虽然有很大的进步，但是也存在不小的局限性，比如用户的配置文件和安装软件不能跟着用户走，那么就无法使用桌面的浮动池模式。这个问题在其它厂商上通过docker是已经解决了的。如果我服能够快速跟进，桌面云可以再上一个台阶了。

平时工作上没有怎么接触到docker，但是个人比较感兴趣，相比于传统的虚拟化或者物理机实现服务，docker的环境服务搭建更加方便，启动更加快速，管理更方便明晰。资源动态调用。各种优势，应该是未来发展的一个大方向，某公司这边有没有考虑将某些安装产品，做成docker镜像，如AC 日志审计 EDR SIP 这类软件，简单化，精细化。

工作中用到了docker，是公司部署的，用的还不熟悉，计划深入学习一下。

工作中用到了docker，是公司部署的，用的还不熟悉，计划深入学习一下。

学习的还是不太明白 学习了