Red Hat 美国中部首席架构师 Thomas Cameron 自 1993 年以来一直从事信息技术行业,曾与高科技制造业、跨国金融服务、信息技术服务、教育、能源生产、运输和大型零售服务等行业合作。
在他今年在第 14 届年度南加州 Linux 展 (SCaLE 14x) (SCaLE 14x) 上的两次演讲——容器安全简介 和 Gluster 快速入门——之前,我采访了 Thomas,讨论容器安全问题。
对于 Docker 未来社区的安全功能,您有什么感到兴奋的?
嗯,我个人对安全增强型 Linux (SELinux) 有偏见,所以对我来说,SELinux 是当今容器中最令人兴奋的安全功能。当您查看类型强制和多类别安全 (MCS) 提供的粒度时,它们大大提高了在单个主机或虚拟机 (VM) 上运行多个不同框架和应用程序时提供的安全性。
SELinux 在不同的容器之间提供了一条清晰明亮的界线,因此即使一个容器的应用程序受到威胁,系统的其余部分也是安全的。
在 SELinux 之后,我认为 命名空间 是一个非常棒的安全功能。主机抽象文件系统、网络、进程 ID、用户等的能力提供了每个容器的隔离,保护其他容器和主机免受攻击。
另一个非常酷的安全功能是 Linux 功能 (libcap)。Linux 功能是一种机制,通过该机制,可以将过滤器应用于 Linux 内核提供的功能,排除容器的网络和硬件管理等内容。这不仅简化了容器管理,还使容器更加安全。
我将在今年 SCaLE 14x 的 我的演讲 中演示所有这些功能。
部署容器时要避免的常见安全错误有哪些?
不要采取“一劳永逸”的心态。请记住,正如您必须及时更新操作系统一样,您也需要确保容器的内容也保持最新。人们天生倾向于完成一个项目然后继续下一个项目,但是对于容器,我们确实必须关注这些容器的安全性和可持续性。
您将如何减轻对同一主机上运行多个容器的安全性的担忧?
这是一个粗略的过度简化,但是主机上的多个容器只是主机上多个虚拟机的下一个逻辑步骤。由于这些容器受到内核命名空间、安全增强型 Linux、Linux 内核功能等的严格控制,因此您可以确信风险是最小的。
评论已关闭。