AWS EC2容器服務(wù)是如何改善Docker安全性的?是否有應(yīng)實施的額外安全措施以確保Docker的安全使用?

[[146383]]

Docker是基于管理程序的虛擬機的一個替代品，它可實現(xiàn)應(yīng)用程序跨平臺的輕松遷移。它受到了廣大開發(fā)運營專業(yè)人士的青睞，因為它可幫助他們輕松地把在Mac OS X平臺上開發(fā)的應(yīng)用程序移植到一個Linux生產(chǎn)服務(wù)器上。

但是，Docker的應(yīng)用還有著一些安全性方面的問題。

AWS EC2容器服務(wù)是一個集群管理系統(tǒng)，它可簡化Docker鏡像在一組AWS實例上的使用。因為用戶的應(yīng)用程序?qū)⒃贓C2實例上運行，所以他們將獲得對一般可用資源的所有安全控制。這是非常重要的，因為它確保了Docker當(dāng)前版本的安全性有著明顯的局限性。

Docker過程具有訪問文件系統(tǒng)的根權(quán)限，而這有可能被用于危及在同一服務(wù)器上其他容器的正常運行。據(jù)相關(guān)報道，Docker的后續(xù)版本將在受限權(quán)限下運行。與此同時，AWS用戶可充分利用這些安全性功能以減少此類風(fēng)險。

AWS的虛擬私有云計算(VPC)可在AWS云計算內(nèi)隔離計算和網(wǎng)絡(luò)資源。云計算管理員們可以按實際需要創(chuàng)建多個虛擬私有云計算。在每一個云計算內(nèi)，云計算管理員可以創(chuàng)建子網(wǎng)、定義IP地址以及配置路由器表和網(wǎng)關(guān)。管理員們可以在機器實例上設(shè)置額外的控制措施——例如安全組——以便于進一步限制對資源的訪問。

管理員們也可以在專用實例上運行Docker。這些實例在相關(guān)硬件的VPC內(nèi)運行，而這些硬件則只能由一個客戶使用。請注意，對于這些專用實例是需要額外付費的。

其他的AWS安全控制措施還可被應(yīng)用于運行Docker的實例。例如，可以使用安全組策略針對服務(wù)器流出流入流量控制規(guī)則。此外，還可將身份與訪問管理角色分配給實例;這將允許實例來承擔(dān)分配給角色的權(quán)限。同事，當(dāng)使用角色時，就不必通過編程的方式把AWS訪問密鑰發(fā)送給實例;這將有助于減少暴露訪問密鑰的風(fēng)險。

AWS EC2容器服務(wù)將有助于減少企業(yè)在AWS云計算中運行大量Docker實例的管理開銷，但是這不會降低實例、子網(wǎng)以及虛擬私有云對正確配置和安全性的要求。