1、目录Docker安全扫描工具云虚拟化概述Docker安全特性1243云虚拟化概述云虚拟化定义 云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用程序，服务）CloudComputingVirtualization 虚拟化，一种具体的技术，用来将物理机虚拟成为多个相互独立的虚拟机。云虚拟化概述主流云平台目录Docker安全扫描工具虚拟化概述Docker安全特性1243Docker安全特性Docker概念原理 基于容器技术的轻量级虚拟化解决方案，基于Linux内核的cgroup，namespace，以及AUFS类2、的Union FS等技术,对进程进行封装隔离Docker安全特性 NameSpace：实现资源隔离 CGroups：实现资源限制Docker安全特性Namespace（命名空间）Linux 内核机制，为实现基于容器的虚拟化技术提供了很好的基础，容器就是利用这一特性实现了资源的隔离。不同Container内的进程属于不同的Namespace，彼此透明，互不干扰。CPU、块设备输入/输出信号量、消息队列、共享内存Docker安全特性CGroups Linux内核工具，可以用来限制、计算、隔离一组进程的资源（CPU、内存、磁盘I/O、网络等）的使用情况，具体的资源控制器是由subsys完成的，获取具3、体的subsys信息命令如下Docker安全特性Cgroups举例 限制容器内磁盘的写I/O1、docker run时添加参数-device-write-bps lv设备名:1Gb2、直接修改Cgroup里的参数配置文件blkio.throttle.write_bps_device 限制容器内进程数量docker run时添加参数-pids-limit 1024Docker安全特性Seccomp 白名单 Secure computing mode，是Linux内核的安全特性，用来限制操作系统中上层应用程序的各种行为。通过如下命令查看系统内核是否开启了白名单 如何使用自定义白名单配置文件dock4、er run-security-opt seccomp=/绝对路径/profile.jsonDocker安全特性SELinuxSELinux，Linux内核工具，提供了支持访问控制安全策略的机制AppArmorAppArmor，Linux内核安全模块，通过提供强制访问控制（MAC），允许系统管理员通过程序配置文件限制程序的功能：1、限制网络访问2、限制对配置路径的读取、写入或者执行权限Docker安全特性脆弱性分析1、由于宿主机和容器直接可以共享文件夹，同时不需要限制容器的访问权限，导致容器轻易的突破资源限制，挂载宿主机任意路径，修改宿主机文件使用SELinux/AppArmor解决？2、远程5、访问docker API的默认方式没有使用认证，官方建议配置开启TLS和CA证书认证，使用2376端口访问3、容器逃逸Docker安全特性镜像构建时安全性考虑multi-stage build（多阶段构建）构造镜像时，出于安全性考虑，我们希望只是将编译好的二进制可执行文件放入镜像中，这时候可以使用docker提供的多阶段构建能力目录Docker安全扫描工具虚拟化概述Docker安全特性1243Docker安全扫描工具（for free）工具ClairAnchoreDockerScanDocker Bench for Security 环境搭建复杂简单（慢）简单简单安装兼容性差好差好扫描需要先上传镜像直接扫描直接扫描直接执行扫描漏洞数据库CVECVE无无扫描结果漏洞漏洞+其他其他其他报告输出html报告控制台报告（有格式排版）控制台报告（无格式排版）文本报告其他说明通过对容器的layer进行扫描，对镜像进行特征提取，依据特征匹配CVE漏洞。侧重对镜像的审计，通过对容器的layer进行扫描发现漏洞，基于CVE数据库。功能强大，其中就包含了DockerScan的功能。提取镜像中的多种信息，依据这些信息人工判断该镜像是否存在安全隐患。本质是一个bash shell脚本，报告需要人工自行检查 CHINAUNICOM谢 谢