Docker의 보안 기능은 무엇입니까?

Docker 보안 기능에는 다음이 포함됩니다. 1. 암호화된 노드 ID 2. TLS 기반 인증 메커니즘 3. 보안 액세스 토큰 4. 정기적인 인증서 자동 갱신을 지원하는 CA 구성 6. 암호화된 네트워크 7. Docker 보안 스캐닝 8. Docker 콘텐츠 신뢰 9. Docker 키 등

이 튜토리얼의 운영 환경: linux5.9.8 시스템, docker-1.13.1 버전, Dell G3 컴퓨터.

Docker 플랫폼에는 자체 보안 기술도 많이 도입되었습니다. Swarm 모드는 TLS를 기반으로 구축되었으며 구성이 매우 간단하고 유연합니다. 보안 검사는 바이너리 소스 코드 수준에서 이미지를 검사하고 알려진 결함에 대한 자세한 보고서를 제공합니다.

Docker Content Trust를 사용하면 사용자가 콘텐츠에 서명하고 인증할 수 있으며 키는 이제 Docker에서 일급 시민이 됩니다. Docker는 이러한 보안 기술에 대해 합리적인 기본값을 설정하지만 사용자는 구성을 수정하거나 이러한 보안 기술을 비활성화할 수도 있습니다.

Swarm 모드

Swarm 모드는 Docker의 미래 트렌드입니다. Swarm 모드를 사용하면 사용자는 클러스터의 여러 Docker 호스트를 관리하고 선언적 방식으로 애플리케이션을 배포할 수 있습니다.

각 Swarm은 관리자 노드와 작업자 노드로 구성되며 노드는 Linux 또는 Windows일 수 있습니다. 관리자 노드는 클러스터에서 제어 계층을 형성하고 클러스터 구성 및 작업 부하 분산을 담당합니다. 작업자 노드는 애플리케이션 코드를 실행하는 컨테이너입니다.

예상대로 Swarm 모드에는 기본적으로 많은 보안 기능이 포함되어 있으며 합리적인 기본값도 설정되어 있습니다. 이러한 보안 기능에는 다음이 포함됩니다.

• 암호화된 노드 ID.

• TLS 기반 인증 메커니즘.

• 보안 액세스 토큰.

• 주기적인 인증서 자동 업데이트를 위한 CA 구성을 지원합니다.

• 암호화된 클러스터 저장소(구성 DB).

• 암호화된 네트워크.

Docker Security Scan

코드 결함을 빠르게 찾는 능력은 매우 중요합니다. Docker 보안 검색을 사용하면 Docker 이미지에서 알려진 결함을 쉽게 감지할 수 있습니다.

이제 Docker Hub의 개인 저장소 이미지에 대해 Docker 보안 검사를 사용할 수 있습니다. 동시에 이 기술은 Docker 신뢰할 수 있는 서비스 현지화 배포 솔루션의 일부로 사용될 수도 있습니다. 마지막으로 모든 공식 Docker 이미지는 보안 검사를 거쳤으며 검사 보고서는 해당 리포지토리에서 확인할 수 있습니다.

Docker 보안 스캔은 바이너리 코드 수준에서 Docker 이미지를 스캔하고 알려진 취약점 데이터베이스(CVE 데이터베이스)와 비교하여 해당 이미지의 소프트웨어를 검사합니다. 스캔이 완료되면 자세한 보고서가 생성됩니다.

브라우저를 열어 Docker Hub를 방문하고 Alpine 저장소를 검색하세요. 아래 이미지는 공식 Alpine 저장소의 태그 탭을 보여줍니다.

Alpine 창고는 공식 창고이므로 창고가 자동으로 해당 보고서를 스캔하고 생성합니다. 보시다시피 이미지 태그가 edge, lates, 3.6인 이미지는 모두 알려진 결함 검사를 통과했습니다. 그러나 alpine:3.5 이미지에는 알려진 결함(빨간색으로 표시)이 있습니다.

alpine:3.5 이미지를 열면 아래와 같이 자세한 정보를 확인하실 수 있습니다.

이것은 소프트웨어의 알려진 결함에 대한 세부 정보를 쉽게 발견할 수 있는 방법입니다.

Docker Trusted Registry(DTR)는 Docker Enterprise Edition의 지역화된 이미지 웨어하우스 서비스의 일부입니다. 이는 동일한 기능을 제공하며 사용자가 이미지 스캔 타이밍 및 스캔 방법을 제어할 수도 있습니다.

예를 들어 DTR을 사용하면 이미지를 푸시할 때 이미지가 자동으로 스캔을 트리거할지 아니면 수동으로만 트리거할 수 있는지 선택할 수 있습니다. 동시에 DTR을 사용하면 사용자가 CVE 데이터베이스를 수동으로 업데이트할 수도 있습니다. 이는 DTL이 인터넷에 연결하여 CVE 데이터를 자동으로 업데이트할 수 없는 시나리오에 이상적인 솔루션입니다.

이것은 Docker 보안 스캐닝으로, Docker 이미지에 알려진 보안 결함이 있는지 심층적으로 감지할 수 있는 좋은 방법입니다. 물론 능력이 높을수록 책임도 커집니다. 사용자가 결함을 발견하면 해당 결함을 해결하는 책임도 져야 합니다.

Docker Content Trust

Dockr Content Trust(Docker Content Trust, DCT)를 사용하면 사용자가 다운로드한 이미지와 게시자의 무결성을 쉽게 확인할 수 있습니다. 이는 신뢰할 수 없는 네트워크 환경에서 이미지를 다운로드할 때 중요합니다.

DCT를 통해 개발자는 높은 수준에서 Docker Hub 또는 Docker Trusted Services에 게시된 이미지에 서명할 수 있습니다. 이러한 이미지를 가져오면 서명 상태가 자동으로 확인됩니다. 아래 이미지는 이 과정을 보여줍니다.

DCT는 이미지가 서명되었는지, 프로덕션 환경에서 사용할 수 있는지, 이미지가 새 버전으로 교체되어 더 이상 사용되지 않는지 등과 같은 주요 컨텍스트도 제공할 수 있습니다.

DTC에서 제공하는 컨텍스트는 아직 초기 단계이므로 구성하기가 상당히 복잡합니다. Docker 호스트에서 DCT 기능을 활성화하려면 환경에서 DOCKER_CONTENT_TRUST 변수를 1로 설정하기만 하면 됩니다.

$ export DOCKER_CONTENT_TRUST=1

실제 환경에서 사용자는 시스템에서 이 기능을 기본적으로 활성화하고 싶을 수도 있습니다.

Docker 통합 구성 레이어(Docker Enterprise Edition의 일부)를 사용하는 경우 아래 그림과 같이 서명된 이미지만 실행 확인란을 선택해야 합니다. 이렇게 하면 UCP 클러스터의 모든 노드가 서명된 이미지만 실행하게 됩니다.

위 그림에서 볼 수 있듯이 UCP는 DCT 기반으로 추가로 캡슐화되어 서명된 이미지에 대한 보안 기본 정보를 제공합니다. 예를 들어 사용자는 secops가 서명한 이미지만 프로덕션 환경에서 사용할 수 있어야 한다는 요구 사항이 있을 수 있습니다.

DCT 기능을 켜면 서명되지 않은 이미지를 획득하여 사용할 수 없습니다. 다음 그림은 DCT가 켜진 후 다시 Docker CLI 또는 UCP 웹 UI 인터페이스를 통해 서명되지 않은 이미지를 가져오려고 할 때 보고된 오류를 보여줍니다(두 예 모두 "서명되지 않음" 레이블이 있는 이미지를 가져오려고 시도함).

아래 그림은 DCT가 Docker 클라이언트가 변조된 이미지를 가져오는 것을 방지하는 방법을 보여줍니다.

아래 그림은 DCT가 클라이언트가 오래된 이미지를 가져오는 것을 방지하는 방법을 보여줍니다.

Docker 콘텐츠 신뢰는 사용자가 Docker 서비스에서 가져온 이미지를 확인하는 데 도움이 될 수 있는 매우 중요한 기술입니다. 이 기술의 기본 모드는 구성이 매우 간단하지만 컨텍스트와 같은 일부 고급 기능은 이 단계에서 구성하기가 여전히 매우 복잡합니다.

Docker Key

많은 애플리케이션에는 키가 필요합니다. 비밀번호, TLS 인증서, SSH 키 등

Docker 버전 1.13 이전에는 애플리케이션 간에 키를 공유하는 표준적이고 안전한 방법이 없었습니다. 일반적인 방법은 개발자가 환경 변수에 키를 텍스트로 작성하는 것입니다. 이것은 이상적이지 않습니다.

Docker1.13은 Docker 키를 도입하여 키를 Docker 생태계의 일급 시민으로 전환합니다. 예를 들어, 키를 관리하기 위해 새로운 하위 명령인 docker secret이 추가되었습니다. Docker의 UCP 인터페이스에는 키를 생성하고 관리할 수 있는 전용 장소도 있습니다.

백그라운드에서 키는 생성 후 전송 중에 암호화되고, 사용 시 메모리 파일 시스템에 마운트되며, 승인된 서비스에만 액세스할 수 있습니다. 이는 진정한 포괄적인 엔드투엔드 솔루션입니다.

아래 사진은 전체적인 과정을 보여줍니다.

위 그림에 표시된 워크플로의 각 단계를 차례로 소개합니다.

1) 키가 생성되어 Swarm으로 전송됩니다.

2) 키는 클러스터 저장소에 저장되고 암호화됩니다(각 관리자 노드는 클러스터 저장소에 접근할 수 있음).

3) 서비스 B가 생성되고 키가 사용됩니다.

4) B 서비스의 태스크 노드(컨테이너)로 키를 전송하는 과정은 암호화되어 있습니다.

5) 서비스 B의 컨테이너는 키를 해독하고 이를 /run/secrets 경로에 마운트합니다. 이는 임시 인메모리 파일 시스템입니다(Windows에는 인메모리 파일 시스템 개념이 없기 때문에 Windows Docker에서는 이 단계가 다릅니다).

6) 컨테이너(서비스 작업)가 완료되면 메모리 파일 시스템이 닫히고 키가 삭제됩니다.

7) 서비스 A의 컨테이너는 키에 접근할 수 없습니다.

사용자는 docker secret 하위 명령을 통해 키를 관리할 수 있으며, docker service create 명령을 실행할 때 --secret를 추가하여 서비스에 대한 키를 지정할 수 있습니다.

추천 학습: "docker 비디오 튜토리얼"

위 내용은 Docker의 보안 기능은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!