147
Docker用以提高Linux內核安全性的三大熱點技術
關於譯者Ghostcloud
Ghostcloud(中文名:精靈雲)是成都精靈雲科技有限公司旗下的基於Docker的PaaS/CaaS平台品牌。公司成立於2015年,核心團隊由來自EMC、Veritas、華為、IBM、Microsoft的核心技術主管和架構師組成。精靈雲作為國內首批從事容器虛擬化研發的企業,為企業級行業客戶提供針對互聯網化、私有雲管理平台、大數據業務基礎架構的平台服務,在國內Docker社區貢獻排名前三。主創團隊曾參與Beego開源項目研發,並主導發布《Docker容器實戰:原理、架構與應用》一書。Ghostcloud因容器技術而生,致力於為多個領域的“互聯網+”轉型企業提供服務,是一流的企業級容器雲服務專家。
前言
LinuxKit項目目前正在孵化幾種用以提高Linux安全性的技術,包括Wireguard VPN和Landlock。
今年4月18日,Docker正式對外發布一款開源工具包LinuxKit,用以構建容器優化的Linux發行版。目前,Docker想通過在其LinuxKit社區中孵出幾個新生的Linux安全項目來提高Linux內核安全性。
Docker用以提高Linux內核安全性的三大熱點技術
對Docker公司來說,Docker的安全性至關重要,而LinuxKit在成功提升Docker的安全性上必將是十分具有代表性的。據悉,LinuxKit項目也確實如預期那樣孵化出一些專門用於提高Linux安全性的項目。而Docker和LinuxKit項目的主要職責是確保所有的Linux內核安全工作能向上遊移動到Linux內核的主線工作中去。
Docker用以提高Linux內核安全性的三大熱點技術
不僅如此,Docker方麵還希望那些在Linux社區中為提升安全性做出貢獻的人可以在LinuxKit項目中獲得更多的成就感。
現在,我們就一起來看看LinuxKit項目都孵化了哪些提升Linux安全性的技術。
Wireguard
開源Wireguard VPN來自LinuxKit社區,適用於Linux係統。Wireguard 是一類新型VPN,且采用了加密技術。這種加密技術常用於安全消息應用程序,比如WhatsApp應用程序使用的是Noise Protocol技術框架,而這個技術框架同時也是Wireguard VPN的核心技術框架。可見Wireguard帶給Linux的是一種非常輕量級和安全的VPN技術。
Docker用以提高Linux內核安全性的三大熱點技術
有趣地是,根據Docker方麵透露,Wireguard可以掛載到網絡命名空間中去,並實現容器到容器的加密通信。
KSPP
內核自我保護項目(Kernel Self Protection Project,以下簡稱“KSPP”)是由來自Google的一名開發者Kees Cook於2016年推出的。項目一經推出,KSPP便作為向Linux內核提供多層安全性保障的一種方式,且在KSPP工作的許多領域中都有幫助緩解內存損失風險的保護措施。
Docker用以提高Linux內核安全性的三大熱點技術
Docker公司認為KSPP是改進Linux安全性和LinuxKit項目的重要工具,因此,幾名來自Docker的全職員工目前也在為KSPP服務並為KSPP項目做出貢獻。
Landlock
Linux內核主線中有一些Linux安全模塊(LSM)為Linux中運行的進程提供訪問控製策略,其中最為熟知的兩個LSM是SELinux和AppArmor。 SELinux最初由美國國家安全局(NSA)開發,如今是基於Red Hat的Linux發行版的核心部分。
LinuxKit項目孵化出了一款新的LSM——Landlock。Landlock利用擴展的伯克利數據包過濾器(eBPF)將小程序掛載到Linux內核。
Docker用以提高Linux內核安全性的三大熱點技術
據Docker公司方麵透露,當這些eBPF程序集成LSM後,可為上下遊提供非常強大的決策環境。因而,Landlock加入到LinuxKit將對基於容器的環境非常有利。“
舉例來看,Landlock可寫入限製容器訪問不屬於容器本身的文件描述符的策略,這被當做是限製容器轉義的最後一道防線。因此,Landlock對Docker容器的使用者來說其實是有益無害的。
另外,Landlock中用以保護容器部署的規則提非常靈活。因為現有的LSM並不總是易於係統管理員進行配置,所以,我們期待Landlock在使用上可以更簡化易上手。
結語
如今,容器安全技術的市場在不斷增長,市場上存在多家供應商,包括Twistlock,Anchore,Aqua Security,NeuVector,Aporeto,Tenable和Capsule8等在內的廠商都在研發相關的產品。由於LinuxKit的出現,Docker將有望為容器安全領域提供核心支持。
我們希望Docker作為平台提供商,能盡可能地解決基礎安全問題,並為應用程序創建一個安全的基礎環境,以更好的發揮平台上的各項功能。
推薦閱讀:
在Hadoop上運行Docker容器的六大陷阱
【譯聞】容器的管理,也是一門藝術
Docker容器雲在金融行業的應用
原文鏈接:
https://www.eweek.com/security/docker-aims-to-improve-linux-kernel-security-with-linuxkit
關於譯者Ghostcloud
Ghostcloud(中文名:精靈雲)是成都精靈雲科技有限公司旗下的基於Docker的PaaS/CaaS平台品牌。公司成立於2015年,核心團隊由來自EMC、Veritas、華為、IBM、Microsoft的核心技術主管和架構師組成。精靈雲作為國內首批從事容器虛擬化研發的企業,為企業級行業客戶提供針對互聯網化、私有雲管理平台、大數據業務基礎架構的平台服務,在國內Docker社區貢獻排名前三。主創團隊曾參與Beego開源項目研發,並主導發布《Docker容器實戰:原理、架構與應用》一書。Ghostcloud因容器技術而生,致力於為多個領域的“互聯網+”轉型企業提供服務,是一流的企業級容器雲服務專家。
最後更新:2017-06-13 17:31:39