Docker和微软想将目前受万人瞩目的Linux容器引入到Windows生态系统,即2016年推出的下一代Windows Server中。在SearchWindowsServer与Docker CTO和微软Azure CTO的第一部分访谈中,我们分享了两家在将Docker工具输出到Windows的过程中所做出的努力,容器对Windows销量的影响以及新兴的编排竞争市场。
在第二部分中,他们讨论了不可避免的容器安全问题,并且表示正在采取措施来解决这些问题,包括Windows Server以及两家公司未来伙伴关系等。
你可能听说了有关容器安全的问题,这些担忧是合理的吗?如果真的存在安全问题,需要哪些改进呢?
Solomon Hykes:周围有很多有关Docker和安全的声音。根据我的经验,你真的需要有一种方法来辨识实际情况跟别人的危言耸听。
重要的是要记住,90%的重担不是由Docker低级系统构建块完成的,而是由底层操作系统完成的。我对所有有关Docker安全问题这种说法最大的保留在于,很多时候它与Docker的安全无关;而是与Linux容器和专门的操作系统的安全有关。这要看你编排Docker所使用的系统类型。
因为到目前为止,Docker几乎完全运行在Linux主机上,你会看到专家对Linux容器在隔离应用方面的安全分析,我想这是一件好事。问题确实吸引了很多眼球。
现在,我们正在扩大操作系统的围,并且Windows配置文件是完全不同的一回事......这将需要一个全新的安全分析方式,我想结果会是非常积极的。最重范要的,我想说安全是多层次的,安全的一个重要方面是更好的管理——更好地了解发生了什么。通常来说,自动化部署的好处以及更好地了解大量不同机器和容器之间的操作和运行是安全的最高奖赏。
总的来说,这种趋势是积极的,但我们必须谨慎和小心。我们一直是第一个说,‘好吧,用这个配置要小心。这是在生产中是好的。’
微软在安全问题上的看法是什么?
Mark Russinovich:容器和安全问题是一个非常广泛的话题,你需要了解他人在说什么,比如容器管理或者容器的代码。
我们在Windows Server中提供两种容器类型。两者有不同的容器代码,以及不同的主机容器信任关系。举个例子,在我们的云中,我们有多租户(平台即服务),主机代码由客户提供,我们称这为敌意的多租户环境,因为我们必须假设他们是敌对的,尽管有可能不是。我们对隔离所实现的代码非常高。
当然,我们信任Hyper-V是安全的,我们关注内部代码,这就是为什么Azure云即是基础设施即服务,也是平台即服务。这些服务创建在虚拟机上,客户A的代码在1号虚拟机,客户B的代码在2号虚拟机。我们放心地把这些机器放在同一个服务器上,因为我们信任我们的hypervisor。
当涉及到Windows Server容器,当同一虚拟机上有两部分不同的不受信任代码时,我们不会对隔离的安全程度放心的。这是因为它们共享Windows操作系统内核,如果操作系统被攻击(通过拒绝服务)或者提升特权,这样攻击者可以破坏容器,并且访问主机或其他客户的容器。
所以这就是Hyper-V容器发挥作用的地方,这些基本建立在与Hyper-V虚拟机相同的技术之上。每个容器都有自己的Windows操作系统拷贝,该Windows操作系统拷贝优化了在容器内部运行的能力... ...这就是为什么我们通过敌意的多租户代码来保证隔离的安全性。
容器有多种类型,但是API部署代码和镜像是完全相同的,所以这其实在于你的决定。一个开发人员可以做决定,IT专业人士也可以。他们可以决定是否将它们应用于Hpyer-V容器或Windows Server容器。当然,你是不能改变代码、应用程序、镜像和API的。,但是你可以标记你的目标容器类型。
Hykes:这是一个完美的有关隔离的例子。对于Docker,我们并不是要插足进来说Windows中的安全是如何实现的,或者Linux上的安全是如何实现的。我们的工作是与平台厂商深入合作,从而理解不同的安全性配置文件,理解基础,然后共同开发出对开发人员非常重要的东西。
所以在Mark刚提到的场景中,这可能意味着我们依据刻客户对应用程序的信任情况提供一些不同的选项。你的部署环境中,有效负载是由相同的信任方所提供的么?或者从信任的第三方部署的?
例如,你是一个客户,是一个某个平台的提供商。我们会依据Docker接口为你提供一种简单的方式,通过这种方式我们可以真正地提升安全性,而不是发明一些奇特的底层技术。当然我们通过更有效的底层技术来让更多的人真正地使用它们,我相信这个过程中安全是是一个大的瓶颈。
总会有让人吃惊的技术来保护人们和系统,但是只是用这些技术是不够的,因为这些技术比较复杂,或者埋藏在堆栈的最底端。这种情况下,我们这样的伙伴关系能够让这些技术闪闪发光。
与Linux环境相比,客户希望从Windows环境中得到哪些不同?
Russinovich:Windows Server应用程序兼容性,然后是信任配置文件。事实上这不关乎区别,而是为客户提供他们需要的工具来支持Windows Server上的容器。
有些人建议微软应该收购Docker。我相信你听说过,当时你的反应是什么?
Hykes:当一段合作关系非常棒的时候,难免会出来这种说法。我想说这是一个好迹象。
Russinovich:我同意。
