前言

Docker 是一個(gè)開源的應(yīng)用容器引擎，讓開發(fā)者可以打包他們的應(yīng)用以及依賴包到一個(gè)可移植的容器中,然后發(fā)布到任何流行的Linux或Windows操作系統(tǒng)的機(jī)器上,也可以實(shí)現(xiàn)虛擬化,容器是完全使用沙箱機(jī)制,相互之間不會(huì)有任何接口。

??作者簡介：熱愛跑步的恒川，致力于C/C++、Java、Python等多編程語言，熱愛跑步，喜愛音樂的一位博主。
??本文收錄于恒川的日常匯報(bào)系列，大家有興趣的可以看一看
??相關(guān)專欄C語言初階、C語言進(jìn)階系列等，大家有興趣的可以看一看
??Python零基礎(chǔ)入門系列，Java入門篇系列正在發(fā)展中，喜歡Python、Java的朋友們可以關(guān)注一下哦！

1. 利用Docker確保環(huán)境安全

??Docker十分火熱，很多人表示很少見如此能夠吸引行業(yè)興趣的新興技術(shù)。然而，當(dāng)興奮轉(zhuǎn)化為實(shí)際部署時(shí)，企業(yè)需要注意Docker的安全性。
??了解Docker的人都知道，Docker利用容器將資源進(jìn)行有效隔離。因此容器相當(dāng)于與Linux OS和hypervisor有著幾乎相同的安全運(yùn)行管理和配置管理級(jí)別。但當(dāng)涉及到安全運(yùn)營與管理，以及具有保密性、完整性和可用性的通用控件的支持時(shí)，Docker可能會(huì)讓人失望。
當(dāng)容器運(yùn)行在本地系統(tǒng)上時(shí)，企業(yè)可以通過其安全規(guī)則確保安全性。但一旦容器運(yùn)行在云端，事實(shí)就不會(huì)如此簡單了。
??當(dāng)Docker運(yùn)行在云提供商平臺(tái)上時(shí)，安全性變得更加復(fù)雜。需要知道云提供商正在做什么，或許用戶正在與別人共享一臺(tái)機(jī)器。
??雖然容器沒有內(nèi)置的安全因素，而且像Docker這樣的新興技術(shù)很難有比較全面的安全措施，但這并不意味著以后也不會(huì)出現(xiàn)。

2. 新興技術(shù)

新興技術(shù)是技術(shù)更新和技術(shù)創(chuàng)新的動(dòng)力之源，不僅要求在時(shí)間或空間上較“新”，而且要求“興起”和“發(fā)展”。自2000年賓夕法尼亞大學(xué)沃頓商學(xué)院出版標(biāo)志性著作《Wharton on Managing Emerging Technologies》以來，新興技術(shù)識(shí)別、跟蹤、預(yù)測和管理一直受到了廣泛的關(guān)注

2.1 定義

??新興技術(shù)指知識(shí)生產(chǎn)過程中產(chǎn)生的相對快速發(fā)展的根本性創(chuàng)新技術(shù)，具有影響未來經(jīng)濟(jì)和社會(huì)發(fā)展的潛力。

2.2 特征

??新興技術(shù)本質(zhì)的特征有根本創(chuàng)新性、相對增長性、影響性和不確定性。根本創(chuàng)新性：當(dāng)某領(lǐng)域的核心技術(shù)發(fā)生根本性改變時(shí)，技術(shù)思維方式改變，技術(shù)創(chuàng)新過程能夠?qū)е略擃I(lǐng)域研究的興起。相對增長性：使用函數(shù)擬合方法，得到文獻(xiàn)數(shù)量的增長曲線，確定相對增長性的大小。影響性：新興技術(shù)通過域定和組合對行業(yè)、社會(huì)或者經(jīng)濟(jì)產(chǎn)生影響。由于技術(shù)發(fā)展初期數(shù)據(jù)匱乏、保密等原因，新興技術(shù)的影響性不易衡量。但可通過技術(shù)在新聞、科技評(píng)論、社交網(wǎng)絡(luò)以及技術(shù)路線圖上的熱度上有所表征。不確定性：體現(xiàn)在產(chǎn)出的不確定性和使用領(lǐng)域的不確定性。物理學(xué)上使用香農(nóng)信息熵來衡量物體變化的不規(guī)則程度，可以作為衡量不確定的參考指標(biāo)。其他特征為具體識(shí)別方法的非本質(zhì)特征。如，創(chuàng)造性毀滅來源于不連續(xù)的根本性創(chuàng)新，高成本和國家相關(guān)是新興技術(shù)的外部特征。集聚性實(shí)質(zhì)為新興技術(shù)在社會(huì)網(wǎng)絡(luò)上的影響。

3. 部署安全性

??也有專家將Docker安全問題的實(shí)質(zhì)定位于配置安全，認(rèn)為Docker的問題是很難配置一個(gè)安全的容器。雖然Docker的開發(fā)人員通過創(chuàng)建非常小的容器來降低攻擊面，但問題在于大型企業(yè)內(nèi)部在生產(chǎn)環(huán)境中運(yùn)行Docker容器的員工需要有更多的可見性和可控性。
??專家認(rèn)為，大約90%的外部網(wǎng)絡(luò)攻擊并不是超級(jí)復(fù)雜的，攻擊者多是利用了管理員的行為漏洞，比如配置錯(cuò)誤或者未及時(shí)安裝補(bǔ)丁。
因此，企業(yè)在部署數(shù)千或數(shù)萬臺(tái)容器時(shí)，能夠確保這些容器都遵守企業(yè)安全策略進(jìn)行配置是至關(guān)重要的事情。
??為解決這個(gè)問題，就需要增加Docker容器部署的實(shí)時(shí)可見性，同時(shí)實(shí)施企業(yè)制定的安全策略。

4. 安全問題主要表現(xiàn)在那些

4.1 信息安全問題

??信息安全問題是指由于各種原因引起的信息泄露、信息丟失、信息篡改、信息虛假、信息滯后、信息不完善等，以及由此帶來的風(fēng)險(xiǎn)。具體的表現(xiàn)有：竊取商業(yè)機(jī)密、泄漏商業(yè)機(jī)密、篡改交易信息、破壞信息的真實(shí)性和完整性、接收或發(fā)送虛假信息、破壞交易、盜取交易成果偽造交易信息、非法刪除交易信息、交易信息丟失、病毒導(dǎo)致信息破壞、黑客入侵等等。
??如果信息被非法竊取或泄露，可能會(huì)給有關(guān)企業(yè)和個(gè)人帶來嚴(yán)重的后果和巨大的經(jīng)濟(jì)損失。如果不能及時(shí)得到準(zhǔn)確、完備的信息，企業(yè)和個(gè)人就無法對交易進(jìn)行正確的分析和判斷，無法作出符合理性的決策。非法刪除交易信息和交易信息丟失也可能導(dǎo)致經(jīng)濟(jì)糾紛，給交易的一方或多方造成經(jīng)濟(jì)損失。

4.2 交易安全問題

??交易安全問題是指電子商務(wù)交易過程中存在的各種不安全因素，包括交易的確認(rèn)、產(chǎn)品和服務(wù)的提供、產(chǎn)品和服務(wù)的質(zhì)量、貨款的支付等方面的安全問題。與傳統(tǒng)的商務(wù)交易形式不同，電子商務(wù)具有自己的特點(diǎn)：市場無界化，主體虛擬化，交易網(wǎng)絡(luò)化，貨幣電子化，結(jié)算瞬時(shí)化等。這使得電子商務(wù)的交易風(fēng)險(xiǎn)表現(xiàn)出新的特點(diǎn)，出現(xiàn)新的形式，并且被放大。
??當(dāng)今電子商務(wù)的交易安全問題在現(xiàn)實(shí)中很多。例如：賣方利用自己發(fā)布信息的主動(dòng)性優(yōu)勢，以次充好、以劣當(dāng)優(yōu)來發(fā)布虛假信息，欺騙購買者；賣方利用參與者身份的不確定性與市場進(jìn)出的隨意性，在提供服務(wù)方面不遵守承諾，收取費(fèi)用卻不提供服務(wù)或者少提供服務(wù)。當(dāng)然也有相反的情況：買方利用賣方的誠實(shí)套取產(chǎn)品和服務(wù)，卻以匿名、更名或退出市場等方式逃避執(zhí)行契約合同；還有買方利用電子商務(wù)交易的弱點(diǎn)，收到賣方的貨品但是偷梁換柱、以假換真之后，再以各種理由找賣方退貨。

4.3 財(cái)產(chǎn)安全問題

??財(cái)產(chǎn)安全問題是指由于各種原因造成電子商務(wù)參與者面臨的財(cái)產(chǎn)等經(jīng)濟(jì)利益風(fēng)險(xiǎn)。財(cái)產(chǎn)安全往往是電子商務(wù)安全問題的最終形式，也是信息安全問題和交易安全問題的后果。財(cái)產(chǎn)安全問題主要表現(xiàn)為財(cái)產(chǎn)損失和其他經(jīng)濟(jì)損失。財(cái)產(chǎn)的直接損失比如客戶的銀行資金被盜；交易者被冒名，其財(cái)產(chǎn)被竊取等。其他經(jīng)濟(jì)損失比如由于信息的泄露、丟失，使企業(yè)的信譽(yù)受損；由于遭受網(wǎng)絡(luò)攻擊或故障，企業(yè)電子商務(wù)系統(tǒng)效率下降甚至癱瘓等。

5. Docker安全中心

??在新的功能中有硬件的部分，可以 跨任何基礎(chǔ)架構(gòu)，允許開發(fā)和隨后的升級(jí)中的數(shù)字編碼簽名。構(gòu)建在Docker Trust框架之上用來進(jìn)行鏡像發(fā)布者認(rèn)證，同時(shí)進(jìn)行新的鏡像掃描和官方漏洞檢測，以便能夠更好地理解容器內(nèi)部是什么。
??命名空間是本周發(fā)布的另外一個(gè)Docker安全升級(jí)。允許IT運(yùn)用來為基于用戶群組的容器指派授權(quán)，約束了主機(jī)的訪問根源，并指定了系統(tǒng)管理員，限制了群組對于指定服務(wù)的訪問。
??鏡像掃描對于Docker Hub上的所有官方版本都可用，同時(shí)命名空間和硬件簽名則在Docker的實(shí)驗(yàn)渠道提供。
??安全問題仍舊是容器采納要解決的最大問題，尤其是如果大量容器是便攜的，IDC研究經(jīng)理Larry Carvalho說道。通過硬件解決這個(gè)問題很明智，因?yàn)檫@樣更難以介入，并且提供了未來可能被使用的大量容器的效率。
??Carvhalho說：“他們還應(yīng)該解決的一個(gè)問題是容量，你沒有辦法在軟件層面做大量的安全，因?yàn)橐泻芏嚅_支?！?/code>