Docker釋出容器平台新版 引入秘密管理功能

docker釋出了其開源和商用容器平台的更新版本，加入了新的安全特性以幫助保護特權通路資訊。

docker正在推進其開源容器引擎，以及可支援商用的 docker datacenter 平台，使其功能更強，對容器中秘密防護更有力。

容器應用環境中，秘密，指的是需要保護的通路令牌、密碼和其他特權通路資訊。docker 1.13 版容器引擎于1月19日登台亮相，主推在2月8日釋出的 docker 1.13.1 更新中進一步被夯實的新秘密管理功能。

另外，docker還将該秘密管理功能引入到2月9日釋出的基于 docker 1.13.1 的 docker datacenter 新更新上。 docker datacenter 是docker公司的旗艦商業平台，于2016年2月首次釋出。

docker安全總監内森·麥考利稱：“作為平台提供商，我們想要確定自己在幫助人們保護應用及其所用秘密的安全上表現良好。”

從部署的角度看，docker引擎叢集(swarm)中，隻有簽名應用才可以通路秘密。麥考利強調：同一基礎設施上運作的應用不應該知道互相的秘密，他們應該隻知道自身被授權通路的那些秘密。

開源 docker 1.13.1 更新中的秘密管理功能，與 docker datacenter 提供功能裡最主要的差別，在于額外的通路控制。docker swarm 在應用運作于叢集上時對秘密的通路設定了通路控制。

docker datacenter 添加的，是為與系統互動的人類開發者和管理者準備的通路控制。于是，你可以将秘密分發給團隊，該團隊就能分發秘密給他們自己的應用了。

docker datacenter 更新中基于角色的通路控制(rbac)，還可與現有的企業身份識别系統內建，包括微軟的活動目錄。

簡單的秘密存儲顯然不足以保證這些秘密資訊的安全，因為其被某個應用洩露的潛在風險總是存在的。

“當秘密沒有實際存儲在應用本身的時候，應用才是更安全的。”麥考利解釋道。

為此，docker加密了swarm中秘密存放地的後端存儲，所有到容器應用的秘密傳輸都發生在安全tls隧道中。秘密隻在記憶體中對應用可用，且不會再存儲到單個應用容器的存儲段。

為應用設定秘密管理功能的想法不算新鮮。開源vault項目就是提供秘密管理的又一例子，2月2号釋出的aqua容器安全平台 2.0 更新中也有內建。

“vault實作了一個好系統，但沒有預設內建到容器管理平台。”麥考利說道，“docker的理念在于，你需要一個深度內建的秘密管理功能，來銜接開發者和營運工作流。

本文轉自d1net（轉載）