Gartner的分析师发表声明指出,尽管容器化工具名声在外,但Docker的安全性仍然不成熟。这篇《Docker管理下的容器安全性评估》于上周发布,指出“Linux容器已经足够成熟,可以满足私有和公共PaaS的真正需求”,但是“......在安全管控方面令人失望,而且它也未能提供在机密性、完整性和可用性方面对共同控制任务的必要支持。”该文档还指出,在虚拟机管理程序(通常是VMware环境而不是Microsoft虚拟环境)中运行Docker可能不一定会带来实际有效的好处。“在大多数情况下,Docker可能会部署在基于管理程序的访客服务器上,”分析师JoergFritsch写道。”但是,除了进一步隔离资源之外,Docker并没有从底层的hypervisor得到多少实质性的帮助。Docker和容器技术根本无法通过hypervisor弥合它们最严重的两个缺点:安全保障和管理功能,以及对机密性的支持,通用控制机制的完整性和可用性。实际上,hypervisor的介入只会增加新的复杂性,这会给管理员带来额外的工作任务,但也可能会导致一些冲突——比如将SDN引入容器化环境。”SELinux和AppArmor这两个项目的好消息:Fritsch表示,对于那些热衷于运行Docker解决方案的用户来说,这两个工具是必不可少的。文章还指出,Docker还是一项年轻的技术,因此还没有积累完备的能够满足实际生产需求的工具生态。需要专门的备份机制是弱点之一(截至撰写本文时,Asigra的产品已经解决了这个问题),而且Docker容器没有加密工具——底层操作系统只能在磁盘级别运行——而且每个大型安全厂商也尚未专注于为容器解决方案提供端点保护。Docker也缺少实时迁移工具,Fritsch说这使得管理程序成为运行Docker的良好基础,但在这方面仍然无法与Parallels的Virtuozzo相提并论。总的来说,Fritsch的基本观点是Docker在安全功能方面还不错,而且在2015年,大量集成到Docker自身的第三方工具和功能改进方案将不断涌现,从而在提高可管理性的同时,真正帮助这个年轻的软件有能力满足各种真实的商业期望。据他介绍,这些陆续亮相的解决方案将使Docker在操作便利性方面不断提升。届时,使用已知参数实现操作将成为最佳实践,从而减少企业客户对信息安全和治理专业人员的需求。高度依赖。Fritsch没有提到Docker面临的安全漏洞,这使得该文档更像是对Docker产品的说明性报告。
