仅仅为了安全起见,将可公开访问的应用程序作为Docker容器运行是否有用?
docker有很多用例,它们都与可移植性、测试、可用性等有关。。。这对于大型企业应用程序特别有用 考虑到互联网上的单一Linux服务器,它充当邮件-web-和应用程序服务器-主要用于私人用途。不需要集群,不需要迁移服务,也不需要从同一映像创建类似的服务仅仅为了安全起见,将可公开访问的应用程序作为Docker容器运行是否有用?,docker,Docker,docker有很多用例,它们都与可移植性、测试、可用性等有关。。。这对于大型企业应用程序特别有用 考虑到互联网上的单一Linux服务器,它充当邮件-web-和应用程序服务器-主要用于私人用途。不需要集群,不需要迁移服务,也不需要从同一映像创建类似的服务 考虑在DoCK容器中包装每一个提供的服务是有用的,而不是直接在服务器上运行(在Chult环境中),当考虑到整个服务器的安全性时,还是使用大锤来破解螺母?< /P> 据我所知,安全性将真正提高,因为服务将真正隔离,即使获得root权限也不允许脱离c
考虑在DoCK容器中包装每一个提供的服务是有用的,而不是直接在服务器上运行(在Chult环境中),当考虑到整个服务器的安全性时,还是使用大锤来破解螺母?< /P> 据我所知,安全性将真正提高,因为服务将真正隔离,即使获得root权限也不允许脱离chroot,但维护需求将增加,因为我需要维护几个独立的操作系统(安全更新、日志分析等等)
您有什么建议,以及您在小型环境中使用Docker有哪些经验?从我的安全角度来看,linux容器和Docker是或将是其优势之一。但是要获得一个安全的环境并完全隔离在一个容器中还有很长的路要走。Docker和其他一些大的合作者,如RedHat,在保护容器安全方面表现出了极大的努力和兴趣,Docker中的任何公共安全标志(关于隔离)都已被修复。今天,Docker并不是硬件虚拟化隔离的替代品,但在运行容器的虚拟机监控程序中有一些项目将在这方面有所帮助。这个问题与提供IAAS或PAAS的公司更相关,他们使用虚拟化来隔离每个客户机 在我看来,对于您提出的一个案例,在Docker容器中运行每个服务在您的安全方案中提供了更多的一层。如果其中一项服务受损,将有一个额外的锁来访问您的所有服务器和其他服务。也许服务的维护增加了一点,但是如果您组织Docker文件以使用公共Docker映像作为基础,并且您(或其他人)定期更新该基础映像,则不需要逐个更新所有Docker容器。此外,如果您使用定期更新的基本映像(例如:Ubuntu、CentOS),影响这些映像的安全问题将被快速更新并修复,您只需重建并重新启动容器即可进行更新。也许是一项额外的工作,但如果安全是一个优先事项,Docker可能是一个附加值