您的位置: 网界网 > 新闻 > 正文

Gartner表示Docker安全性“尚不成熟”,但却谈不上可怕

2015年01月13日 10:12:39 | 作者:佚名 | 来源:ZDNet | 查看本文手机版

摘要:Gartner公司的分析师发表一份声明,指出尽管这款容器化工具已经闯出了响亮的名号、但Docker的安全性仍然不够成熟。

标签
微软
虚拟机
网络安全
VMware
虚拟机管理器

Gartner公司的分析师发表一份声明,指出尽管这款容器化工具已经闯出了响亮的名号、但Docker的安全性仍然不够成熟。

于上周发表的这篇《Docker管理下的容器安全性评估》指出,“Linux容器在成熟程度方面已经足以应对私有以及公有PaaS[注]的实际需求”,但“……在安全性管理与控制方面的表现却令人失望,而且也无法为常见控制任务在机密性、完整性与可用性等方面提供必要支持。”

这份文件同时表示,将Docker运行在虚拟机管理程序当中——一般指VMware环境,而非微软虚拟环境——并不一定能够带来切实有效的助益。

“在大多数情况下,Docker可能会被部署在以虚拟机管理程序为基础的访客服务器之上,”分析师Joerg Fritsch写道。“不过除了进一步导致资源之间的相互隔离,Docker并不能从底层虚拟机管理程序当中得到多少实质性的助益。Docker与容器技术根本无法通过虚拟机管理程序弥合自身最为严重的两大短板:安全性保障与管理功能,外加在常见控制机制的机密性、完整性与可用性方面提供支持。事实上,虚拟机管理程序的介入只会增加新的复杂性,这一方面给管理人员带来额外的工作任务、同时也可能造成某些冲突——例如将SDN[注]引入容器化环境。”

对于SELinux与AppArmor两个项目则传出了好消息:Fritsch表示对于那些热衷于运行Docker方案的用户来说,这两款工具可谓不可或缺。

这篇文章同时指出,Docker还是一项年轻的技术、因此目前尚未积累起能够满足实际生产需求的完整工具生态系统。必须采取专用备份机制是其中一大弱项(截至文章发稿时,Asigra公司的产品已经解决了这个难题),此外Docker容器不具备加密工具——底层操作系统只能在磁盘层面发挥作用——而且各大安全企业也还没有将注意力集中在为容器方案提供端点保护身上。

Docker还缺乏实时迁移工具,Fritsch表示(+本站微信networkworldweixin),这使得虚拟机管理程序虽然能够成为很好的Docker运行基储但在这方面仍然无法同Parallels的Virtuozzo比肩。

总体而言,Fritsch的基本观点是Docker在安全功能方面还算不错,而2015年当中大量第三方工具以及整合到Docker自身当中的功能提升方案将不断涌现,从而在改进可管理性的同时、真正帮助这款年轻的软件拥有满足各类实际业务预期的能力。根据他的说法,这些将陆续亮相的方案将使Docker在操作便捷性方面不断提升,届时利用已知参数实现操作将成为最佳实践,因此也就减少了企业客户对于信息安全及治理专业人士的高度依赖性。

Fritsch并没有提到Docker所面临的安全漏洞,这使得这份文件更像是针对Docker产品的一份说明性报告。

参考资料

1.SDN:(Software Defined Network,软件定义网络)是一种新型的开放网络创新架构。最初是由美国斯坦福大学研究组提出,OpenFlow通过将网络设备控制面与数据面分离开来,从而实现...详情>>

2.PaaS:平台即服务(Platform as a Service,简称)是一种云计算服务,提供运算平台与解决方案堆栈即服务。在云计算的典型层级中,平台即服务层介于软件即服务与基础设施即服务之间...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]