Docker正在推进其开源容器引擎,以及可支持商用的 Docker Datacenter 平台,使其功能更强,对容器中秘密防护更有力。
Docker发布了其开源和商用容器平台的更新版本,加入了新的安全特性以帮助保护特权访问信息。
Docker正在推进其开源容器引擎,以及可支持商用的 Docker Datacenter 平台,使其功能更强,对容器中秘密防护更有力。
容器应用环境中,秘密,指的是需要保护的访问令牌、口令和其他特权访问信息。Docker 1.13 版容器引擎于1月19日登台亮相,主推在2月8日发布的 Docker 1.13.1 更新中进一步被夯实的新秘密管理功能。
另外,Docker还将该秘密管理功能引入到2月9日发布的基于 Docker 1.13.1 的 Docker Datacenter 新更新上。 Docker Datacenter 是Docker公司的旗舰商业平台,于2016年2月首次发布。
Docker安全总监内森·麦考利称:“作为平台提供商,我们想要确保自己在帮助人们保护应用及其所用秘密的安全上表现良好。”
从部署的角度看,Docker引擎集群(swarm)中,只有签名应用才可以访问秘密。麦考利强调:同一基础设施上运行的应用不应该知道相互的秘密,他们应该只知道自身被授权访问的那些秘密。
开源 Docker 1.13.1 更新中的秘密管理功能,与 Docker Datacenter 提供功能里最主要的区别,在于额外的访问控制。Docker swarm 在应用运行于集群上时对秘密的访问设置了访问控制。
“
Docker Datacenter 添加的,是为与系统互动的人类开发者和管理员准备的访问控制。于是,你可以将秘密分发给团队,该团队就能分发秘密给他们自己的应用了。
Docker Datacenter 更新中基于角色的访问控制(RBAC),还可与现有的企业身份识别系统集成,包括微软的活动目录。
简单的秘密存储显然不足以保证这些秘密信息的安全,因为其被某个应用泄露的潜在风险总是存在的。
“当秘密没有实际存储在应用本身的时候,应用才是更安全的。”麦考利解释道。
为此,Docker加密了swarm中秘密存放地的后端存储,所有到容器应用的秘密传输都发生在安全TLS隧道中。秘密只在内存中对应用可用,且不会再存储到单个应用容器的存储段。
为应用设置秘密管理功能的想法不算新鲜。开源Vault项目就是提供秘密管理的又一例子,2月2号发布的Aqua容器安全平台 2.0 更新中也有集成。
“Vault实现了一个好系统,但没有默认集成到容器管理平台。”麦考利说道,“Docker的理念在于,你需要一个深度集成的秘密管理功能,来衔接开发者和运营工作流。”
