コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ 運用・保守 Docker docker のセキュリティ機能は何ですか?

docker のセキュリティ機能は何ですか?

青灯夜游
青灯夜游
Jan 28, 2022 pm 03:21 PM
docker

Docker のセキュリティ機能には、1. 暗号化されたノード ID、2. TLS ベースの認証メカニズム、3. セキュリティ アクセス トークン、4. 定期的な証明書の自動更新をサポートする CA 構成、5. 暗号化されたクラスター ストレージ、6.暗号化されたネットワーク、7. Docker セキュリティ スキャン、8. Docker コンテンツの信頼、9. Docker キーなど。

docker のセキュリティ機能は何ですか?

このチュートリアルの動作環境: linux5.9.8 システム、docker-1.13.1 バージョン、Dell G3 コンピューター。

Docker プラットフォームには、独自のセキュリティ テクノロジも多数導入されています。 Swarm モードは TLS に基づいて構築されており、非常にシンプルかつ柔軟に設定できます。セキュリティ スキャンは、バイナリ ソース コード レベルでイメージをスキャンし、既知の欠陥の詳細なレポートを提供します。

Docker コンテンツの信頼により、ユーザーはコンテンツに署名して認証できるようになり、キーは Docker の第一級市民になりました。 Docker はこれらのセキュリティ テクノロジに適切なデフォルト値を設定しますが、ユーザーは構成を変更したり、これらのセキュリティ テクノロジを無効にしたりすることもできます。

Swarm モード

Swarm モードは、Docker の将来のトレンドです。 Swarm モードを使用すると、ユーザーはクラスター内の複数の Docker ホストを管理し、宣言的な方法でアプリケーションをデプロイできます。

各 Swarm はマネージャー ノードとワーカー ノードで構成され、ノードは Linux または Windows にすることができます。マネージャー ノードはクラスター内の制御層を形成し、クラスターの構成とワークロードの分散を担当します。ワーカー ノードは、アプリケーション コードを実行するコンテナです。

予想通り、Swarm モードにはすぐに使える多くのセキュリティ機能が含まれており、適切なデフォルトも設定されています。これらのセキュリティ機能には次のものが含まれます。

  • 暗号化されたノード ID。

  • TLS ベースの認証メカニズム。

  • 安全なアクセス トークン。

  • 証明書の定期的な自動更新をサポートする CA 構成。

  • 暗号化されたクラスター ストレージ (構成 DB)。

  • #暗号化されたネットワーク。

Docker セキュリティ スキャン

コードの欠陥を迅速に発見する機能は非常に重要です。 Docker Security Scanning を使用すると、Docker イメージ内の既知の欠陥を簡単に検出できます。

Docker セキュリティ スキャンが、Docker Hub のプライベート リポジトリ イメージで利用できるようになりました。同時に、このテクノロジーは、Docker の信頼できるサービスのローカリゼーション展開ソリューションの一部としても使用できます。最後に、すべての公式 Docker イメージはセキュリティ スキャンされており、スキャン レポートはリポジトリで利用できます。

Docker セキュリティ スキャンは、バイナリ コード レベルで Docker イメージをスキャンし、既知の脆弱性のデータベース (CVE データベース) と照合してそのソフトウェアをチェックします。スキャンが完了すると、詳細なレポートが生成されます。

ブラウザを開いて Docker Hub にアクセスし、Alpine リポジトリを検索します。下の画像は、公式 Alpine リポジトリの [タグ] タブを示しています。

docker のセキュリティ機能は何ですか?

#Alpine 倉庫は公式の倉庫です。つまり、倉庫は自動的にスキャンし、対応するレポートを生成します。ご覧のとおり、edge、lates、および 3.6 のイメージ タグが付いたイメージはすべて、既知の欠陥のチェックに合格しています。ただし、alpine:3.5 イメージには既知の欠陥があります (赤色でマーク)。

alpine:3.5 イメージを開くと、以下に示す詳細情報が表示されます。

docker のセキュリティ機能は何ですか?

これは、独自のソフトウェアの既知の欠陥の詳細を発見する簡単な方法です。

Docker Trusted Registry (DTR) は、Docker Enterprise Edition のローカライズされたイメージ ウェアハウス サービスの一部です。同じ機能を提供し、ユーザーがイメージ スキャンのタイミングとスキャン方法を制御できるようにします。

たとえば、DTR を使用すると、画像がプッシュされたときにスキャンを自動的にトリガーするか、手動でのみトリガーできるかを選択できます。同時に、DTR を使用すると、ユーザーが CVE データベースを手動で更新することもできます。これは、DTL がインターネットに接続して CVE データを自動的に更新できないシナリオにとって理想的なソリューションです。

これは Docker セキュリティ スキャンであり、Docker イメージに既知のセキュリティ上の欠陥があるかどうかを詳細に検出する優れた方法です。もちろん、能力が高ければ高いほど責任も大きくなり、ユーザーが不具合を発見した場合には、対応する不具合を解決する責任を負わなければなりません。

Docker Content Trust

Dockr Content Trust (Docker Content Trust、DCT) を使用すると、ユーザーはダウンロードしたイメージとその整合性を簡単に確認できます。その発行者。これは、信頼できないネットワーク環境でイメージをダウンロードする場合に重要です。

大まかに言えば、DCT を使用すると、開発者は Docker Hub または Docker Trusted Services に公開されたイメージに署名できます。これらのイメージがプルされると、署名ステータスが自動的に確認されます。以下の画像は、このプロセスを示しています。

docker のセキュリティ機能は何ですか?

#DCT は、イメージが署名されているかどうか、本番環境で使用できるかどうか、イメージが新しいバージョンに置き換えられているかどうかなど、重要なコンテキストも提供できます。時代遅れになるなど。

DTC が提供するコンテキストはまだ初期段階にあり、構成は非常に複雑です。 Docker ホストで DCT 機能を有効にするには、環境内で DOCKER_CONTENT_TRUST 変数を 1 に設定するだけです。 

$ export DOCKER_CONTENT_TRUST=1
ログイン後にコピー

実際の環境では、ユーザーはシステムのデフォルトでこの機能を有効にすることができます。

Docker 統合構成レイヤー (Docker Enterprise Edition の一部) を使用する場合は、次の図に示すように、「署名付きイメージのみを実行」チェックボックスをオンにする必要があります。これにより、UCP クラスター内のすべてのノードが署名付きイメージのみを実行するようになります。

docker のセキュリティ機能は何ですか?

上の図からわかるように、UCP はさらに DCT をカプセル化し、署名されたイメージのセキュリティ設定情報を提供します。たとえば、ユーザーは、実稼働環境では secops によって署名されたイメージのみを使用できるという要件を持つ場合があります。

DCT 機能をオンにすると、署名のない画像を取得して使用することはできなくなります。次の図は、DCT がオンになった後、Docker CLI または UCP Web UI インターフェイスを介して署名されていないイメージを再度プルしようとしたときに報告されるエラーを示しています (どちらの例も、ラベル「unsigned」が付いたイメージをプルしようとしています)。

docker のセキュリティ機能は何ですか?

次の図は、DCT が Docker クライアントによる改ざんされたイメージのプルをどのように防ぐかを示しています。

docker のセキュリティ機能は何ですか?

#次の図は、DCT がクライアントによる古いイメージのプルをどのように防ぐかを示しています。

docker のセキュリティ機能は何ですか?

Docker コンテンツ トラストは、ユーザーが Docker サービスから取得したイメージを確認するのに役立つ重要なテクノロジーです。このテクノロジーの基本モードの設定は非常に簡単ですが、コンテキストなどの一部の高度な機能の設定は、この段階ではまだ非常に複雑です。

Docker キー

多くのアプリケーションにはキーが必要です。パスワード、TLS 証明書、SSH キーなど。

Docker バージョン 1.13 より前には、アプリケーション間でキーを共有する標準的で安全な方法はありませんでした。一般的な方法は、開発者がキーをテキストとして環境変数に書き込むことです。これは理想からは程遠いです。

Docker1.13 では Docker キーが導入され、キーが Docker エコシステムの第一級市民に変わります。たとえば、キーを管理するために新しいサブコマンド docker secret が追加されました。 Docker の UCP インターフェイスには、キーを作成および管理するための専用の場所もあります。

キーは作成後および送信中にバックグラウンドで暗号化され、使用時にメモリ ファイル システムにマウントされ、許可されたサービスのみがアクセスできます。これはまさに包括的なエンドツーエンドのソリューションです。

下の図は、プロセス全体を示しています。

docker のセキュリティ機能は何ですか?

上図に示すワークフローの各ステップを順番に紹介します。

1) キーが作成され、Swarm に送信されます。

2) キーはクラスター ストレージに保存され、暗号化されます (各マネージャー ノードはクラスター ストレージにアクセスできます)。

3) サービス B が作成され、キーが使用されます。

4) サービスBのタスクノード(コンテナ)への鍵送信処理は暗号化されています。

5) サービス B のコンテナーはキーを復号化し、それをパス /run/secrets にマウントします。これは一時的なメモリ内ファイル システムです (Windows にはメモリ内ファイル システムの概念がないため、Windows Docker ではこの手順が異なります)。

6) コンテナ (サービス タスク) が完了すると、メモリ ファイル システムが閉じられ、キーが削除されます。

7) サービス A のコンテナーはキーにアクセスできません。

ユーザーは docker Secret サブコマンドを使用してキーを管理でき、docker service create コマンドの実行時に --secret を追加することでサービスのキーを指定できます。

推奨される学習: 「docker ビデオ チュートリアル

以上がdocker のセキュリティ機能は何ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

アサシンのクリードシャドウズ:シーシェルリドルソリューション
3週間前 By DDD
Windows11 KB5054979の新しいものと更新の問題を修正する方法
2週間前 By DDD
Atomfallのクレーンコントロールキーカードを見つける場所
3週間前 By DDD
アサシンクリードシャドウ - 鍛冶屋を見つけて武器と鎧のカスタマイズを解除する方法
1 か月前 By DDD
<🎜>:Dead Rails-すべての課題を完了する方法
3週間前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7615
15
CakePHP チュートリアル
1387
52
Steamのアカウント名の形式は何ですか
88
11
Win11 Activation Key Permanent
68
19
NYTの接続はヒントと回答です
29
136
もっと見る
Related knowledge
Dockerの画像を更新する方法 Dockerの画像を更新する方法 Apr 15, 2025 pm 12:03 PM

Docker画像を更新する手順は次のとおりです。最新の画像タグ新しい画像をプルする新しい画像は、特定のタグのために古い画像を削除します(オプション)コンテナを再起動します(必要に応じて)

Dockerデスクトップの使用方法 Dockerデスクトップの使用方法 Apr 15, 2025 am 11:45 AM

Dockerデスクトップの使用方法は? Dockerデスクトップは、ローカルマシンでDockerコンテナを実行するためのツールです。使用する手順には次のものがあります。1。Dockerデスクトップをインストールします。 2。Dockerデスクトップを開始します。 3。Docker Imageを作成します(DockerFileを使用); 4. Docker画像をビルド(Docker Buildを使用); 5。Dockerコンテナを実行します(Docker Runを使用)。

Dockerのファイルを外部にコピーする方法 Dockerのファイルを外部にコピーする方法 Apr 15, 2025 pm 12:12 PM

Dockerの外部ホストにファイルをコピーする方法:Docker CPコマンドを使用:Docker CP [Options]&lt; Container Path&gt; &lt;ホストパス&gt;。データボリュームの使用:ホストにディレクトリを作成し、-vパラメーターを使用してコンテナを作成するときにディレクトリをコンテナにマウントして、双方向ファイルの同期を実現します。

Dockerによってコンテナを出る方法 Dockerによってコンテナを出る方法 Apr 15, 2025 pm 12:15 PM

Dockerコンテナを終了する4つの方法:コンテナ端子でCtrl Dを使用するコンテナターミナルに出口コマンドを入力しますDocker stop&lt; container_name&gt;コマンドを使用するDocker Kill&lt; container_name&gt;ホストターミナルのコマンド(フォース出口)

Dockerプロセスを表示する方法 Dockerプロセスを表示する方法 Apr 15, 2025 am 11:48 AM

Dockerプロセス表示方法:1。DockerCLIコマンド:Docker PS; 2。SystemDCLIコマンド:SystemCTL Status Docker; 3。CLIコマンドを作成するDocker:Docker-Compose PS。 4。プロセスエクスプローラー(Windows); 5。 /procディレクトリ(Linux)。

DockerによるMySQLを開始する方法 DockerによるMySQLを開始する方法 Apr 15, 2025 pm 12:09 PM

DockerでMySQLを起動するプロセスは、次の手順で構成されています。MySQLイメージをプルしてコンテナを作成および起動し、ルートユーザーパスワードを設定し、ポート検証接続をマップしてデータベースを作成し、ユーザーはすべての権限をデータベースに付与します。

Dockerコンテナの名前を確認する方法 Dockerコンテナの名前を確認する方法 Apr 15, 2025 pm 12:21 PM

すべてのコンテナ(Docker PS)をリストする手順に従って、Dockerコンテナ名を照会できます。コンテナリストをフィルタリングします(GREPコマンドを使用)。コンテナ名(「名前」列にあります)を取得します。

Docker画像を保存する方法 Docker画像を保存する方法 Apr 15, 2025 am 11:54 AM

Dockerに画像を保存するには、Docker Commitコマンドを使用して、指定されたコンテナの現在の状態、Syntax:Docker Commit [Options]コンテナID画像名を含む新しい画像を作成できます。画像をリポジトリに保存するには、Docker Pushコマンド、Syntax:Docker Push Image Name [:Tag]を使用できます。保存された画像をインポートするには、Docker Pullコマンド、Syntax:Docker Pull Image Name [:Tag]を使用できます。

See all articles