AWSEC2容器服务如何提高Docker安全性?是否应该实施额外的安全措施以确保安全使用Docker?Docker是基于虚拟机管理程序的虚拟机的替代品,它可以轻松地跨平台迁移应用程序。它受到DevOps专业人士的青睐,因为它可以帮助他们轻松地将在MacOSX平台上开发的应用程序迁移到Linux生产服务器上。然而,Docker的应用仍然存在一些安全问题。AWSEC2容器服务是一个集群管理系统,它简化了Docker镜像在一组AWS实例上的使用。由于用户的应用程序将在EC2实例上运行,因此他们将获得对普遍可用资源的所有安全控制。这一点非常重要,因为它确保了当前版本的Docker的安全性具有明显的局限性。Docker进程对文件系统具有root访问权限,这可能会被用来破坏同一服务器上其他容器的正常运行。根据相关报道,后续版本的Docker将以受限权限运行。同时,AWS用户可以充分利用这些安全特性来降低此类风险。AWS的虚拟私有云计算(VPC)将计算和网络资源隔离在AWS云中。云计算管理员可以根据实际需要创建多个虚拟私有云计算。在每个云中,云管理员可以创建子网、定义IP地址以及配置路由器表和网关。管理员可以在机器实例上设置额外的控制——例如安全组——以进一步限制对资源的访问。管理员还可以在专用实例上运行Docker。这些实例在相关硬件的VPC中运行,只能由一个客户使用。请注意,这些专用实例需要额外付费。其他AWS安全控制也可以应用于运行Docker的实例。例如,您可以使用安全组策略来控制服务器出入流量的规则。此外,身份和访问管理角色可以分配给一个实例;这将允许实例承担分配给角色的权限。同事们,在使用角色时,没有必要以编程方式将AWS访问密钥发送给实例;这将有助于降低暴露访问密钥的风险。AWSEC2容器服务将有助于减少在AWS云中运行大量Docker实例的企业的管理开销,但它不会减少对实例、子网和虚拟私有云的正确配置和安全性的需求。
