写点什么

Docker 新增三大功能特性,增强容器安全

  • 2015-11-19
  • 本文字数:917 字

    阅读完需:约 3 分钟

11 月 16-17 日, DockerCon Europe 2015 在西班牙的巴塞罗那召开。在该会议中,Docker 公司宣布了其对Docker 平台中容器安全方面的三大改进——支持利用YubiKey 进行硬件签名、对Docker Hub 中的镜像开始进行安全扫描和支持用户名字空间。

首先,Docker 开始支持利用YubiKey 设备进行硬件签名。该USB 设备与之前Docker 已经实现的升级框架(The Update Framework,TUF)密切相关。在TUF 框架下,当发布者将镜像上传到远程仓库后,Docker 会利用私钥对镜像进行签名。之后,当下载该镜像时,Docker 会利用发布者的公钥来校验该镜像是否和发布者所发布的镜像一致,从而判断镜像是否被篡改过或者是否为最新版。

基于TUF,Docker 在1.8 版本中引入了内容可信(Docker Content Trust)的特性。YubiKey 正是在内容可性框架的基础上,实现了容器的自动签名。开发人员或者系统管理员可以把 YubiKey 4 插入到笔记本电脑或者工作站中,从而将其独特的签名上传到容器中。当代码在工作流中移动时,该签名保证了只有经过授权的人员可以访问代码,大大提高代码的安全性。此外,YubiKey 本身采用了指纹识别技术来保证该 USB 设备自身的安全。

其次,Docker 添加了对 Docker Hub 中镜像文件的扫描工作。具体而言,Docker 会定期的将检查表项和美国国土安全部更新的公共漏洞数据库进行比对。一旦出现匹配,Docker 就会针对该镜像发出警告。这样,用户在使用该镜像时会更加谨慎,避免安全威胁;镜像贡献者也会警惕存在的漏洞,尽快进行修复。

最后,最新的 Docker 1.9 实验版本增加了对用户名字空间的支持。以往,容器都拥有宿主机的 root 用户访问权限。通过使用 Linux 的名字空间,Docker 剥离了容器的该访问权限——只有 Docker daemon 进程拥有 root 权限,而且只有若干授权的系统管理员可以访问 daemon。这样,IT 部门就可以给予企业内部不同部门或者团队不同的访问控制权,提高整个工作流的安全。


感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群(已满),InfoQ 读者交流群(#2))。

2015-11-19 18:002855
用户头像

发布了 268 篇内容, 共 123.9 次阅读, 收获喜欢 24 次。

关注

评论

发布
暂无评论
发现更多内容

阿里,快手,拼多多等 7 家大厂 Java 面试真题,Java 笔试题及答案详解

三十而立

selenium源码通读·6 |webdriver/common/alert.py-Alert类分析

Python 源码 自动化测试 selenium

袋鼠云春季生长大会最新议程来啦!4月20日我们云上见

袋鼠云数栈

大数据 数字化转型

集简云软件连接器,实现业务流程自动化

集简云开放平台

低代码开发 低代码平台 数据集成平台

第二届“鼎新杯”数字化转型应用大赛申报通道正式开启

信通院IOMM数字化转型团队

数字化转型 鼎新杯

SOA/ESB架构升级之路:从微服务到ServiceMesh,再到Sermant

IT科技苏辞

华为云智能编程助手赋能高校,揭示行业发展新动向

爱尚科技

全面拥抱Serverless,腾讯云大数据Elasticsearch开启云原生新范式

科技热闻

用低代码平台可视化设计表单

力软低代码开发平台

崖山科技通过CMMI3级认证,研发管理能力获国际权威认可!

YashanDB

Mysql分页 vs Oracle分页|非常详细,建议收藏

bug菌

MySQL oracle 三周年连更

华为云智能编程助手助力哈尔滨工业大学(深圳)培养新时代软件研发人才

爱尚科技

总结年初到 10 月底 Java 基础、架构面试题,共计 1327 道!涵盖蚂蚁金服、腾讯、字节跳动、美团、拼多多等等一线大厂!

三十而立

白嫖!字节跳动 Java岗顶级面试解析(2023版),GitHub巅峰神作!

三十而立

听说谛听闹退休?感知网络接班啦!

白洞计划

感知网络

五一临近,赋能乡村振兴,低代码也有话讲!

加入高科技仿生人

低代码 数字化 乡村振兴 乡村旅游

架构训练营模块九作业

gigifrog

架构训练营

技术分享 | 如何迅速将分布式政企应用转型为云原生微服务架构

IT科技苏辞

分布式政企应用如何快速实现云原生的微服务架构改造

IT科技苏辞

2023最新整理上千道Java面试攻略,近500页PDF文档

会踢球的程序源

Java 面试 找工作 java面试 应届生

仅凭这份 Java 大纲笔记,我如愿拿到了阿里 offer。

三十而立

升级企业数智化底座,以技术重构企业发展力

用友BIP

技术大会 用友iuap 用友BIP 用友技术大会

谈一谈 SAP 企业管理软件里那些真假 Fiori 应用

汪子熙

SAP Fiori 企业管理软件 思爱普 三周年连更

爆肝一月!527页文档详解SpringCloud微服务和分布式系统实践

Java你猿哥

数据库 分布式 SSM框架 微服务设计

华为云智能编程助手助力哈尔滨工业大学(深圳)学子,引领软件研发新趋势

爱尚科技

2023 寻找企业出海“新势力”

Jessie

企业出海 出海

2023 Java面试题短期突击攻略,已帮助400+位程序员成功拿到offer

小小怪下士

Java 程序员 面试 后端

搭建数据驱动的技术底座,助力企业数智化变革

用友BIP

技术大会 用友iuap 用友技术大会 升级企业数智化底座

【Meetup回顾第1期】竟是这样的国产数据库,YashanDB技术内幕曝光

YashanDB

数据库运维实操优质文章分享(含Oracle、MySQL等) | 2023年3月刊

墨天轮

MySQL 数据库 oracle postgresql 国产数据库

Docker新增三大功能特性,增强容器安全_语言 & 开发_张天雷_InfoQ精选文章