最新的 Docker 调查显示，80% 的企业将 Docker 作为云战略的重要部分。如何保证在云平台之上，企业内部不同业务的容器化应用的安全和隔离，是需要重点考虑的问题。本议题会探讨下以下几个内容： 从安全和隔离的角度，需要从哪些步骤和维度去设计应用的架构； 国内外常见的 Docker 镜像、运行时安全框架和解决方案； 阿里云容器服务是如何保证平台安全性，一个典型企业用户是如何配置应用的调度策略和安全规则。

1. 基于云平台的
Docker多租户安全
汤志敏

2.  1.Docker使用现状
 2.云端Docker应用的安全挑战
 3.从安全的角度如何设计容器化应用
 4.阿里云容器服务案例介绍
目录

3. 1.Docker使用现状
中国容器调查报告 2016.10 ©阿里云，包含1400+有效问卷反馈
• 容器技术爆发式增长， 中国市场开始起步，容器技术前景广阔： 超过 87%用户有意愿使用容器技术
• 70% 将容器用于公共云, 45% 考虑容器用于混合云（来自于中国容器调研报告 2016.10 ©阿里云）
未来6个月是否会采用容器技术
部署速度快，开发、测试更敏捷
提高系统利用率、降低资源成本
跨环境可移植性
更好的支持微服务
应用运维标准化，支持不同语言应用
支持混合云场景
避免云厂商锁定
其他
非常可能
18%
有可能
55%
不会
13%
正在使用
14%
容器技术对企业的价值

4.  26%的客户对实施Docker的安全性有顾虑
1.Docker使用现状
0 200 400 600
考虑Docker容器的相关资源限制设置和最小化Capability
考虑Docker Engine相关的安全配置、证书，及定期更新
考虑Docker Hub镜像可能存在安全缺陷，如何对镜像进…
考虑对组织的不同成员授予Docker集群的不同操作权限
考虑如何修复镜像中操作系统和应用的安全缺陷
考虑如何对运行期的Docker容器进行扫描
其他
在评估或使用容器技术，有哪些安全考虑
中国容器调查报告 2016.10 ©阿里云，包含1400+有效问卷反馈
26%
74%
是否对Docker安全性有顾虑
是

5. 2.云端Docker应用的安全挑战
2016年2月
Ghost
glibc 漏洞需要Docker镜像升级
2016年5月
2375端口？
公网暴露Daemon 2375端口
2015年5月
官方镜像漏洞
30%的官方镜像有高危漏洞
 一些安全事件回顾

6. 2.云端Docker应用的安全挑战
应用数
爆炸
应用更
动态，
跨云迁
移
镜像来
源多
应用生
命周期
更短

7. 3.从安全的角度如何设计容器化应用
镜像安全
运行时安全
安全合规
云平台安全

8. 安全防护 监控检测 响应恢复审计分析
数据安全
应用安全
网络安全
主机安全
物理安全
安全管理平台（SOC）
DevOPS
安全
流水线
容器运
行期安
全扫描
网络监控管理平台
自
动
响
应
机
制
安
全
加
固
运
维
系
统
双
因
素
认
证
用
户
身
份
生
命
周
期
管
理
安全域划分
网络边界访
问控制
主机入
侵防御
网络入侵防御
物理隔离、电力保障、访问控制、视频监控
Web应用防火墙
数据备
份恢复
运
维
操
作
审
计
云平台安全
渗
透
测
试
DDoS检测和分析 DDoS防护
主机安
全镜像
多
租
户
隔
离
虚机
漂移
安全组防火墙/VPC
防IP/MAC/ARP欺骗
恶
意
主
机
检
测
快照、备份
切片分布存
储
VPN
端
口
扫
描
镜像全
扫描
可选加密传
输
可选加密存
储
异地容灾
数据安全清
除
SDL
Web
虚拟
补丁云
监
控
DDoS抓包取证
入
侵
检
测
多副本存储
3.从安全的角度如何设计容器化应用

9.  物理托管方式
3.1 云平台安全
公共云
公共云
VPC 云厂商
专有云 三方机房
私有云
自建机房
专有云
专线接入
VPN
金融云
Calico
Weave
Overlay

10.  安全认证
3.1 云平台安全
CSA STAR
ISO27001
可信云
等级保护
国内 国际
通用标准
云标准

11. 3.2 镜像安全
Dockerfile Docker Image Docker Registry
build
push
pull
镜像配置安全 镜像内容安全 镜像仓库安全

12.  镜像层次分析
3.2.1 镜像内容安全
Host layer
Middleware
layer
App layer
Container
config

13.  分层应对
3.2.1 镜像内容安全
Host layer
Middleware
layer
App layer
Container
config
镜像CVE漏洞
检查
代码安全
扫描
镜像配置
扫描

14.  扫描服务
• Docker Security Scanning(Nautilus)
• CoreOS Clair
• Twistlock Trust
3.2.1 镜像内容安全

15.  扫描效果评估（CIS Docker 1.10 benchmark）
3.2.1 镜像内容安全
扫描效
果
漏洞
通知
机制
扫描
效率
并
发
度
为了无法计算的价值
CVE
库完
整性
同
步
机
制
特定操
作系统
快速
定位
layer
包名
文件
路径

16.  链路安全：TLS+token
3.2.2 镜像仓库安全

17.  数字签名：
• Notary(The Update Framework)
• Docker Content Trust(Docker 1.8)
3.2.2 镜像仓库安全

18.  数据库连接串、证书尽量不要保存在镜像或环境变量
3.2.3 镜像配置安全
X

19.  推荐玩法：
• Docker volume (docker-volume-keywhiz), K8s secret
• 独立服务（Hashcorp vault、AWS KMS、阿里云秘钥管理）
3.2.3 镜像配置安全

20. 3.3 运行时安全
 集群级别
 容器级别
 微服务级别

21. 3.3 运行时安全
 集群级别
• 云+管+端
• 纵深防御
DDOS防御
独占集群
安全组

22. Shared kernel
resource
ioslation
resource
throttle
resource
ACL
kernel security patch
chroot
namespace
(MNTUTSIPC
PIDNETUSER)
cgroup
quota
tc(net_cls)
ulimit
UGO（DAC）
capabiliy
selinux/apparmor（MAC）
GRESEC
哪些没有隔离的？
unikernel
hyper
3.3 运行时安全
容器级别

23.  DevOpsSec
3.4 安全合规
开发 测试
操作 安全
DevOpsSec

24.  不可变架构+CI/CD 流水线
• 通过构建而不是commit创建镜像
• 尽量不用latest tag
• 通过digest id 指定镜像版本(Docker1.6)
• 移除无用镜像
3.4 安全合规

25.  权限管理
• 合理划分namepace
• 根据使用者区分镜像的AdminReadWrite权限
 权限体系
• Docker hub的Organization &team
• 云平台的主子账号和平行账号
• LDAP&AD
3.4 安全合规

26. 4. 阿里云容器服务案例介绍
 阿里云容器产品介绍
 场景一：基于GPU安全隔离的深度学习方案
 场景二：基于网络拓扑发现的运行时安全

27. 4.1 阿里云容器产品介绍
 阿里云容器产品
• 容器镜像服务
• 容器服务
• 云市场-容器生态
• 支持公有云+金融云+专有云+混合云

28. 4.1 阿里云容器服务
Docker
Registry
Docker
Machine
Docker
Swarm
Docker
Engine
Docker
Compose
构建 交付 执行
ECS Driver
OSS 存储

29. 资源管理
云基础设施
Docker 引擎 容器存储 容器网络
任务调度
服务治理
互联网、移动、函数计算、深度学习…
• 全兼容开源标准
• 无缝集成云服务
• DevOps赋能
4.1 阿里云容器服务

30. SLB
API 网关
Tensorflow
应用
Caffe
应用
Docker Engine
数据卷
HPC节点
容器集群
容器服务
GPU资源调度
DevOps 支持 云监控日志文件存储
共享模型 日志分析 GPU监控
Tensorflow
应用
Caffe
应用
Docker Engine
数据卷
HPC节点
Tensorflow
应用
Caffe
应用
Docker Engine
数据卷
HPC节点
弹性伸缩
阿里云服务
version: '2'
services:
inception:
image: acs_sample/inception:demo
volumes:
- inception_model/inception_model
mem_limit: 512m
labels:
- aliyun.gpu=1
- aliyun.log_store_inception=stdout
- aliyun.lb.port_9000=tcp://inception:9000
ports:
- "9000:9000”
environment:
- 'availability:az=m=2'
volumes:
inception_model:
driver: nas
4.2 基于GPU安全隔离的深度学习方案
Step1:通过Docker Compose描述应用架构

31. 源代码
管理 CI Server
阿里云镜像服
务
CD Server
1.提交代码
开发者
如果失败反馈开发者
预发环境
测试环境
生产环境
下载代码构建
2.Webhook 通知
阿里云容器服务
阿里持续交付平台
拉取镜像
代码扫描服务
镜像扫描
服务
配置
管理
反馈镜像漏洞
3.push
4.trigger
Step2:通过DevOpsSec流水线持续迭代
4.2 基于GPU安全隔离的深度学习方案

32.  云市场-容器生态
 支持一键部署到阿里云容器服务
4.3 基于网络拓扑发现的运行时安全

33. 4.3 基于网络拓扑发现的运行时安全
运行时安全扫描

34. 4.3 基于网络拓扑发现的运行时安全
智能网络发现和阻断

35. 阿里云容器团队博客
https://yq.aliyun.com/teams/11
阿里云容器服务Docker支持
钉钉群