互联网安全中心发布第二版DockerSecurityBenchmark,新增Docker1.11.0相关内容。安全性现在是并将继续成为容器广泛采用的障碍,关于容器和虚拟机之间安全差异的争论在技术行业继续激烈进行。事实上,容器生态的支持者表示,已经有大量的工具和产品可以提高他们平台的安全性,包括静态分析(镜像扫描)、运行时漏洞检测、溯源(镜像签名)、精细化等。-粒度授权。还有密码验证等等。也有大量的初创企业开始将容器安全能力作为其业务的基础。相关变革正在快速推进,可以肯定的是,开源社区和各个厂商在过去的一年里站在了多个层面——包括操作系统、容器运行时、容器镜像、主机到集群编排工具、PaaS甚至CaaS-为提高集装箱安全做出了突出而重大的贡献。互联网安全中心(简称CIS)就是其中之一。CIS致力于提高网络安全水平,同时帮助实现公共和私营部门之间的快速响应。CIS制定的安全基准旨在提供一套严格定义、公平和公认的行业最佳实践解决方案,帮助企业评估和提高自身的安全性。在合作社区的不懈努力下,第一套CISDocker基准测试于去年4月正式发布,适用于Docker1.6。并且在本月13日发布了一个新的基线版本,内容与Docker1.11.0相关。CISDockerBenchmark为Docker容器基础设施的安全配置提供规范性指导(以规则的形式)。在新的基线版本中,新增了22条规则,同时取消了23条原有规则。目前规则总数为83条。Docker在过去的一年里发展迅速,一些规则被更新或者直接取消,以确保新版本中的规则符合Docker的现状。在1.11.0版本中,Docker将容器监控和运行时分离,由两个守护进程containerd和runc管理。基准测试将Docker安全问题分为以下几类(每个类别的相关规则数量在括号中):·主机配置(15)·Docker守护进程配置(13)·Docker守护进程配置文件(20)·容器镜像每条规则在构建文件(五)、容器运行时(二十五)、Docker安全操作(五)中不仅描述了相关的安全问题和如何审计部署方案的安全级别,还指导大家如何解决。补救措施的规则和建议是基于容器主机,而不是集群,所以在选择方案时,需要考虑集群的规模和平台的选择(包括裸机、容器PaaS,甚至云环境,ETC。)。CISDocker1.11.0基准测试(PDF格式,英文文本)中新增的规则包括:主机配置1.11审计Docker文件和目录-docker.socket1.13审计Docker文件和目录-/etc/docker/daemon。json1.14审计Docker文件和目录-/usr/bin/docker-containerd1.15审计Docker文件和目录-/usr/bin/docker-runcDocker守护进程配置2.8启用用户命名空间支持2.9确认默认cgroup使用2.10不要更改基础设备的规模(如果不需要)2.11使用授权插件2.12配置集中和远程登录2.13禁用旧注册表(v1)操作·Dockerdaemon配置文件3.17验证daemon.json文件所有权设置为root:root3。18验证daemon.json文件权限设置为644或更严格3.19验证/etc/default/docker文件所有权设置为root:root3.20验证/etc/default/docker文件权限设置为644或更严格更严格的容器镜像和构建文件4.5启用Docker容器运行时的内容信息5.19不设置挂载传播方式共享5.20不共享宿主机的UTS命名空间5.21不禁用默认的seccomp配置文件5.22不允许权限选项使用docker执行命令5.23用户选项不允许使用docker执行命令5.24确认cgroup使用5.25限制容器获取额外权限一些容器安全厂商也参与了Docker安全基准的制定,一些已经提交了他们的产品或项目检测并解决相关问题。虽然有些解决方案可以使用策略驱动的编排机制来解决一些安全测试失败的问题,但实际上,它很难完全修复任何问题(自动修复机制只适用于少数特定问题)。安全配置基线在全球范围内免费发布,并作为面向用户的标准使用和部署。符合1.11.0基准的现有工具之一是DockerBenchforSecurity——一种开源命令行工具,可根据CISDocker基准执行检查。原标题:Docker安全基准新增22个关注点【.com独家翻译,合作站转载请注明出处】
