在Docker上部署容器時應考慮的安全風險

本文講的是在docker上部署容器時應考慮的安全風險，docker——被稱為容器的作業系統級虛擬化例項平台，已成為超級流行的基礎設施技術。靈活的容器化，完全改變了我們大規模部署和維護應用的方式，其中大企業市場是關鍵驅動因素。

4月底，docker首席執行官本·格魯布在dockercon大會上發言，分析使用者體驗和經驗教訓，慶祝該平台巨大的成功。如今，所有容器開發中有1/3都在生產環境中完成，大多以成百上千臺主機上線的形式呈現。

事實上，涉及容器化，大公司往往身先士卒；雲監視公司datadog發現，過去1年裡docker採用率上公升了40%。

容器的顧慮

惡意及脆弱映象

這是因為，任何人都可以在 docker hub 上發布新資源，所以，在部署前一定要確保熟悉專案維護者。從虛假源執行未經測試的版本，可能會導致主機不穩定，非故意引入脆弱元件，甚或惡意**執行。

就替代方案來說，目前嶄露頭角的是官方docker商店和「認證」專案，可以提供一系列萬無一失的部署就緒包。hub上的付費計畫，主打「安全掃瞄」工具，可檢查映象中的已知漏洞；可信第三方也能提供內建資源庫掃瞄的自有容器登錄檔。

iam突破

iam是讓正確的人，在正確的時間，以正確的理由，訪問正確資源的安全守則。它解決的是日趨異構的技術環境中，確保合理訪問資源的任務關鍵需求。

雲提供商，比如aws，旨在預設提供強化的iam角色架構。這些可與彈性計算雲(ec2)同時使用，或應用到另一提供商實現上，以確保使用者根據最小特權原則分配到恰當的訪問許可權。

部署私有容器或內部開發的容器時，另外的iam考慮，源自確保自身登錄檔受到充分保護。雙因子身份驗證和單點登入，可支援你的安全環境並幫助攔截惡意人士。

過量資源使用

一般情況下，docker容器沒有資源限制。因此，不受限制地積極部署容器，可導致主機效能嚴重下降。要對記憶體、頻寬和磁碟使用(塊i/o)設限，以便緩解效能問題——這有可能是惡意**(比如dos**執行)或主機錯誤配置引起的。

容器突破

侵入某個容器的黑客不應該能橫向移動到其他容器或docker主機。然而，docker發展迅速，提權漏洞亦可能出現。所以，要謹慎打造基礎設施，時刻謹記分層深度防禦方法。

儘管只影響用root許可權執行容器(不推薦)的使用者，但請考慮docker引擎0.11容器突破的例子。概念驗證**在2023年6月18日公布，並很快由docker團隊公開透明地解決了。

編配安全

雖然此文圍繞docker容器安全展開，編配(orchestration)平台及其元件的安全防護措施也必須要做好的。編配涉及任務管理與自動化，比如容器集群與排程，公司企業往往訴諸kubernetes和mesos之類的工具來有效管理。