Docker 这家初创公司,让 Docker 在 Linux 容器中构建和部署应用越来越受欢迎,最近宣布了一项行特性, Docker 在其最新版本的开源产品中增添 Content Trust ,这项功能将为使用容器的人们提供一个额外的安全层。
Docker Content Trust ,现在可以在 Docker1.8.0 版本中获取,它允许开发者在 Docker Hub 上下载 container images 之前检查其合法性。此项措施有望确保企业在利用 Docker 在自己的基础设施上部署应用时,不会有任何潜在的危险。
这对 Docker 来说异常重要,因为容器技术未来将取代传统厂商 Citrix 、 Microsoft 和 VMware 的虚拟机技术。
Linux 容器,它依赖于操作系统级的虚拟化,对比虚拟机有着诸多优势,但是让大企业相信基于开源的容器技术和虚拟化技术一样安全可靠,这是 Docker 公司目前面临的最大挑战,也是 Docker 必须面对的,所以安全一直是一件极其重要的事情。
根据 Docker 公司的声明, Content Trust 是这样运行的:
Docker Content Trust 有两个不同的 key ,一个 Offline key ( root )和一个 Tagging key ( per-repository ),它们在 publisher 第一次 push an imags 时候在客户端生成和存储。每个版本库都有其自己独特的 tagging key ,它允许持有人为特定版本库进行数字签名 Docker image 。 tagging key 随时被使用来 new content 的添加和删除。因为 tagging key 是在线的,很容易被 compromised 。使用 Docker Content Trust , publisher 使用 offline key 将能够安全的 rotate compromised keys ,它可以安全地离线存储。
Docker Content Trust 同时还产生一个 Timestamp key ,来防止 replay attacks 。 Docker 为你管理 Timestamp key ,减少不断刷新内容客户端的麻烦。
本文由张鹏程编译整理,原文链接: http://blog.tenxcloud.com/?p=375