Docker和微軟想將目前受萬(wàn)人矚目的Linux容器引入到Windows生態(tài)系統(tǒng)，即2016年推出的下一代Windows Server中。在SearchWindowsServer與Docker CTO和微軟Azure CTO的第一部分訪談中，我們分享了兩家在將Docker工具輸出到Windows的過(guò)程中所做出的努力，容器對(duì)Windows銷量的影響以及新興的編排競(jìng)爭(zhēng)市場(chǎng)。

[[145956]]

在第二部分中，他們討論了不可避免的容器安全問(wèn)題，并且表示正在采取措施來(lái)解決這些問(wèn)題，包括Windows Server以及兩家公司未來(lái)伙伴關(guān)系等。

你可能聽(tīng)說(shuō)了有關(guān)容器安全的問(wèn)題，這些擔(dān)憂是合理的嗎?如果真的存在安全問(wèn)題，需要哪些改進(jìn)呢?

Solomon Hykes：周圍有很多有關(guān)Docker和安全的聲音。根據(jù)我的經(jīng)驗(yàn)，你真的需要有一種方法來(lái)辨識(shí)實(shí)際情況跟別人的危言聳聽(tīng)。

重要的是要記住，90%的重?fù)?dān)不是由Docker低級(jí)系統(tǒng)構(gòu)建塊完成的，而是由底層操作系統(tǒng)完成的。我對(duì)所有有關(guān)Docker安全問(wèn)題這種說(shuō)法最大的保留在于，很多時(shí)候它與Docker的安全無(wú)關(guān);而是與Linux容器和專門的操作系統(tǒng)的安全有關(guān)。這要看你編排Docker所使用的系統(tǒng)類型。

因?yàn)榈侥壳盀橹梗珼ocker幾乎完全運(yùn)行在Linux主機(jī)上，你會(huì)看到專家對(duì)Linux容器在隔離應(yīng)用方面的安全分析，我想這是一件好事。問(wèn)題確實(shí)吸引了很多眼球。

現(xiàn)在，我們正在擴(kuò)大操作系統(tǒng)的圍，并且Windows配置文件是完全不同的一回事......這將需要一個(gè)全新的安全分析方式，我想結(jié)果會(huì)是非常積極的。最重范要的，我想說(shuō)安全是多層次的，安全的一個(gè)重要方面是更好的管理——更好地了解發(fā)生了什么。通常來(lái)說(shuō)，自動(dòng)化部署的好處以及更好地了解大量不同機(jī)器和容器之間的操作和運(yùn)行是安全的最高獎(jiǎng)賞。

總的來(lái)說(shuō)，這種趨勢(shì)是積極的，但我們必須謹(jǐn)慎和小心。我們一直是第一個(gè)說(shuō)，‘好吧，用這個(gè)配置要小心。這是在生產(chǎn)中是好的。’

微軟在安全問(wèn)題上的看法是什么?

Mark Russinovich：容器和安全問(wèn)題是一個(gè)非常廣泛的話題，你需要了解他人在說(shuō)什么，比如容器管理或者容器的代碼。

我們?cè)赪indows Server中提供兩種容器類型。兩者有不同的容器代碼，以及不同的主機(jī)容器信任關(guān)系。舉個(gè)例子，在我們的云中，我們有多租戶(平臺(tái)即服務(wù))，主機(jī)代碼由客戶提供，我們稱這為敵意的多租戶環(huán)境，因?yàn)槲覀儽仨毤僭O(shè)他們是敵對(duì)的，盡管有可能不是。我們對(duì)隔離所實(shí)現(xiàn)的代碼非常高。

當(dāng)然，我們信任Hyper-V是安全的，我們關(guān)注內(nèi)部代碼，這就是為什么Azure云即是基礎(chǔ)設(shè)施即服務(wù)，也是平臺(tái)即服務(wù)。這些服務(wù)創(chuàng)建在虛擬機(jī)上，客戶A的代碼在1號(hào)虛擬機(jī)，客戶B的代碼在2號(hào)虛擬機(jī)。我們放心地把這些機(jī)器放在同一個(gè)服務(wù)器上，因?yàn)槲覀冃湃挝覀兊膆ypervisor。

當(dāng)涉及到Windows Server容器，當(dāng)同一虛擬機(jī)上有兩部分不同的不受信任代碼時(shí)，我們不會(huì)對(duì)隔離的安全程度放心的。這是因?yàn)樗鼈児蚕鞼indows操作系統(tǒng)內(nèi)核，如果操作系統(tǒng)被攻擊(通過(guò)拒絕服務(wù))或者提升特權(quán)，這樣攻擊者可以破壞容器，并且訪問(wèn)主機(jī)或其他客戶的容器。

所以這就是Hyper-V容器發(fā)揮作用的地方，這些基本建立在與Hyper-V虛擬機(jī)相同的技術(shù)之上。每個(gè)容器都有自己的Windows操作系統(tǒng)拷貝，該Windows操作系統(tǒng)拷貝優(yōu)化了在容器內(nèi)部運(yùn)行的能力... ...這就是為什么我們通過(guò)敵意的多租戶代碼來(lái)保證隔離的安全性。

容器有多種類型，但是API部署代碼和鏡像是完全相同的，所以這其實(shí)在于你的決定。一個(gè)開(kāi)發(fā)人員可以做決定，IT專業(yè)人士也可以。他們可以決定是否將它們應(yīng)用于Hpyer-V容器或Windows Server容器。當(dāng)然，你是不能改變代碼、應(yīng)用程序、鏡像和API的。，但是你可以標(biāo)記你的目標(biāo)容器類型。

Hykes：這是一個(gè)完美的有關(guān)隔離的例子。對(duì)于Docker，我們并不是要插足進(jìn)來(lái)說(shuō)Windows中的安全是如何實(shí)現(xiàn)的，或者Linux上的安全是如何實(shí)現(xiàn)的。我們的工作是與平臺(tái)廠商深入合作，從而理解不同的安全性配置文件，理解基礎(chǔ)，然后共同開(kāi)發(fā)出對(duì)開(kāi)發(fā)人員非常重要的東西。

所以在Mark剛提到的場(chǎng)景中，這可能意味著我們依據(jù)刻客戶對(duì)應(yīng)用程序的信任情況提供一些不同的選項(xiàng)。你的部署環(huán)境中，有效負(fù)載是由相同的信任方所提供的么?或者從信任的第三方部署的?

例如，你是一個(gè)客戶，是一個(gè)某個(gè)平臺(tái)的提供商。我們會(huì)依據(jù)Docker接口為你提供一種簡(jiǎn)單的方式，通過(guò)這種方式我們可以真正地提升安全性，而不是發(fā)明一些奇特的底層技術(shù)。當(dāng)然我們通過(guò)更有效的底層技術(shù)來(lái)讓更多的人真正地使用它們，我相信這個(gè)過(guò)程中安全是是一個(gè)大的瓶頸。

總會(huì)有讓人吃驚的技術(shù)來(lái)保護(hù)人們和系統(tǒng)，但是只是用這些技術(shù)是不夠的，因?yàn)檫@些技術(shù)比較復(fù)雜，或者埋藏在堆棧的最底端。這種情況下，我們這樣的伙伴關(guān)系能夠讓這些技術(shù)閃閃發(fā)光。

與Linux環(huán)境相比，客戶希望從Windows環(huán)境中得到哪些不同?

Russinovich：Windows Server應(yīng)用程序兼容性，然后是信任配置文件。事實(shí)上這不關(guān)乎區(qū)別，而是為客戶提供他們需要的工具來(lái)支持Windows Server上的容器。

有些人建議微軟應(yīng)該收購(gòu)Docker。我相信你聽(tīng)說(shuō)過(guò)，當(dāng)時(shí)你的反應(yīng)是什么?

Hykes：當(dāng)一段合作關(guān)系非常棒的時(shí)候，難免會(huì)出來(lái)這種說(shuō)法。我想說(shuō)這是一個(gè)好跡象。

Russinovich：我同意。