Docker 容器虛擬化安全風險有哪些

Docker容器虛擬化安全風險有以下這些：

• 容器隔離問題：對于Docker容器而言，由于容器與宿主機共享操作系統內核，因此存在容器與宿主機之間、容器與容器之間隔離方面的安全風險，具體包括進程隔離、文件系統隔離、進程間通信隔離等。雖然Docker通過Namespaces進行了文件系統資源的基本隔離，但仍有/sys、/proc/sys、/proc/bus、/dev、time、syslog等重要系統文件目錄和命名空間信息未實現隔離，而是與宿主機共享相關資源。

• 容器逃逸攻擊：容器逃逸攻擊指的是容器利用系統漏洞，“逃逸”出了其自身所擁有的權限，實現了對宿主機和宿主機上其他容器的訪問。由于容器與宿主機共享操作系統內核，為了避免容器獲取宿主機的root權限，通常不允許采用特權模式運行Docker容器。

• 計算型DoS攻擊：Fork Bomb是一類典型的針對計算資源的拒絕服務攻擊手段，其可通過遞歸方式無限循環調用fork系統函數快速創建大量進程。由于宿主機操作系統內核支持的進程總數有限，如果某個容器遭到了Fork Bomb攻擊，那么就有可能存在由于短時間內在該容器內創建過多進程而耗盡宿主機進程資源的情況，宿主機及其他容器就無法再創建新的進程。

• 存儲型DoS攻擊：針對存儲資源，雖然Docker通過Mount命名空間實現了文件系統的隔離，但CGroups并沒有針對AUFS文件系統進行單個容器的存儲資源限制，因此采用AUFS作為存儲驅動具有一定的安全風險。如果宿主機上的某個容器向AUFS文件系統中不斷地進行寫文件操作，則可能會導致宿主機存儲設備空間不足，無法再滿足其自身及其他容器的數據存儲需求。

• Docker自身漏洞：作為一款應用Docker本身實現上會有代碼缺陷。CVE官方記錄Docker歷史版本共有超過20項漏洞。黑客常用的攻擊手段主要有代碼執行、權限提升、信息泄露、權限繞過等。目前Docker版本更迭非常快，Docker用戶最好將Docker升級為最新版本。

解決容器安全問題方法有以下這些：

• Docker自身安全性改進：在過去容器里的root用戶就是主機上的root用戶，如果容器受到攻擊，或者容器本身含有惡意程序，在容器內就可以直接獲取到主機root權限。Docker從1.10版本開始，使用UserNamespace做用戶隔離，實現了容器中的root用戶映射到主機上的非root用戶，從而大大減輕了容器被突破的風險，因此建議盡可能使用最新版Docker。

• 保障鏡像安全：為保障鏡像安全，我們可以在私有鏡像倉庫安裝鏡像安全掃描組件，對上傳的鏡像進行檢查，通過與CVE數據庫對比，一旦發現有漏洞的鏡像及時通知用戶或阻止非安全鏡像繼續構建和分發。同時為了確保我們使用的鏡像足夠安全，在拉取鏡像時，要確保只從受信任的鏡像倉庫拉取，并且與鏡像倉庫通信一定要使用HTTPS協議。

• 加強內核安全和管理：宿主機內核盡量安裝最新補丁；使用Capabilities劃分權限，它實現了系統更細粒度的訪問控制；啟動容器時一般不建議開啟特權模式，如需添加相應的權限可以使用–cap-add參數。

• 使用安全加固組件：Linux的SELinux、AppArmor、GRSecurity組件都是Docker官方推薦的安全加固組件，這三個組件可以限制一個容器對主機的內核或其他資源的訪問控制，目前容器報告里的一些安全漏洞。

• 資源限制：在生產環境中，建議每個容器都添加相應的資源限制，這樣即便應用程序有漏洞，也不會導致主機的資源被耗盡，最大限度降低了安全風險。

• 使用安全容器：容器有著輕便快速啟動的優點，虛擬機有著安全隔離的優點，有沒有一種技術可以兼顧兩者的優點，做到既輕量又安全呢？答案是有的，那就是安全容器。安全容器與普通容器的主要區別在于，安全容器中的每個容器都運行在一個單獨的微型虛擬機中，擁有獨立的操作系統和內核，并且有虛擬機般的安全隔離性。

回答所涉及的環境：聯想天逸510S、Windows 10。