Docker容器安全強化最佳實務

在微服務架構中，單一容器單一應用原則是提升安全性和可維護性的基礎，降低攻擊面並簡化資源管理與維護更新流程。敏感資訊應避免儲存於環境變數，建議採用 Docker Secrets 或外部憑證管理系統。Docker 主機安全管理需注重存取控制與版本更新，及時修補漏洞。非 root 使用者執行容器能有效降低安全風險，搭配唯讀模式啟動及 setuid/setgid 許可權停用，更能強化容器防護。此外，限制容器的 Linux 功能、實施資源控制、善用 Docker Content Trust 機制驗證映像來源，都是建構安全容器化環境不可或缺的環節。

強化容器安全性：最佳實踐與技術深度解析

在現代化的軟體開發與佈署流程中，容器技術已成為不可或缺的核心組成部分。Docker作為領先的容器化平台，不僅簡化了應用程式的佈署和管理，更在微服務架構中扮演著關鍵角色。然而，隨著容器化技術的廣泛應用，其安全性問題也日益受到關注。本文將探討Docker容器的安全性最佳實踐，透過技術深度解析與實務案例分析，提供全面性的安全強化策略。

單一容器單一應用：微服務架構的安全基礎

在微服務架構中，採用「單一容器單一應用」的原則是確保系統安全性和可維護性的基礎。這種做法不僅有助於降低安全風險，還能提升系統的整體穩定性。

為何選擇單一應用容器？

1. 安全性提升：當容器內僅執行單一應用時，潛在的攻擊面會顯著縮小。即使應用程式存在漏洞，攻擊者也難以利用該漏洞對其他應用或主機系統造成影響。
2. 資源管理最佳化：單一應用的容器更易於進行資源分配和監控，能夠更精確地控制CPU、記憶體等資源的使用，避免資源爭用帶來的效能問題。
3. 維護與更新簡化：每個容器僅包含一個應用，這使得維護、更新和故障排查變得更加簡單直接，降低了因更新或組態變更導致的系統不穩定風險。

實務建議

• 嚴格遵循「單一容器單一應用」的原則進行容器設計。
• 利用Docker Compose等工具進行多容器的協調和管理，以簡化複雜應用的佈署流程。

敏感資訊管理：避免環境變數與特權模式

在容器化環境中，敏感資訊的管理是確保系統安全性的關鍵環節。使用環境變數或以特權模式執行容器，都可能引發安全風險。

環境變數的安全隱患

1. 資訊洩露風險：環境變數可能被未經授權的程式或使用者存取，導致敏感資訊（如資料函式庫密碼、API金鑰等）洩露。
2. 組態錯誤：錯誤組態的環境變數可能導致應用程式執行異常，或被惡意利用。

特權模式的風險

1. 提權攻擊：以特權模式執行的容器，可能允許攻擊者在容器內執行高許可權操作，甚至逃逸到主機系統，對整個系統造成嚴重威脅。
2. 安全隔離失效：特權模式會削弱容器技術原本提供的隔離機制，使得容器間的隔離不再可靠。

安全建議

• 避免在環境變數中儲存敏感資訊，改用更安全的憑證管理方案，如Docker Secrets或外部憑證管理系統。
• 嚴格限制容器的許可權，避免使用特權模式執行容器。

Docker主機的安全管理

Docker主機的安全狀態直接影響到其上執行的所有容器。因此，確保Docker主機的安全性是保護整個容器化環境的基礎。

存取控制

1. 使用者許可權管理：嚴格控制能夠存取Docker主機的使用者許可權，避免未授權存取。
2. 日誌稽核：定期稽核Docker主機的日誌記錄，及時發現和處理可疑行為。

版本更新

1. Docker版本更新：保持Docker引擎為最新版本，以取得最新的安全修補程式和功能改進。
2. Linux核心更新：定期更新Linux核心，因為容器分享主機的核心，核心的安全漏洞可能被惡意利用於攻擊容器或主機系統。

執行非root使用者：提升容器安全性

預設情況下，Docker容器以root使用者執行，這帶來了極大的安全風險。攻擊者若能控制以root執行的容器，就可能對主機系統造成嚴重威脅。

如何組態非root使用者？

1. 在Dockerfile中新增使用者：透過useradd指令在Dockerfile中新增普通使用者，並使用USER指令切換到該使用者。

FROM python:latest
RUN useradd -s /bin/bash unix_user
USER unix_user
ENTRYPOINT ["bin/bash"]

2. 建置與執行：建置映像檔後，以該映像檔執行容器時，容器將以指定的非root使用者執行。

$ docker image build -t python_image .
$ docker run -ti python_image

安全優勢

• 降低了因root許可權過高而導致的安全風險。
• 限制了攻擊者在容器內的潛在操作，提升了容器的安全性。

以唯讀模式啟動容器：防止檔案系統寫入

以唯讀模式執行容器是一種有效的安全措施，可以防止攻擊者在容器內寫入檔案，從而降低安全風險。

如何以唯讀模式執行容器？

使用docker run指令時，加上--read-only引數即可啟用唯讀模式。

$ docker run -d --read-only python sh

處理需要寫入的情況

對於需要寫入操作的應用，可以透過掛載卷（Volume）的方式，提供特定的寫入目錄。

$ docker run --name mysql --read-only -v /var/lib/mysql -v /tmp -d -e MYSQL_ROOT_PASSWORD=password mysql

安全優勢

• 防止攻擊者在容器內寫入惡意檔案或修改系統檔案。
• 透過卷掛載，提供必要的寫入能力，同時保持大部分檔案系統的唯讀狀態。

停用setuid和setgid許可權：減少安全風險

setuid和setgid是一種特殊許可權，可能被攻擊者利用來提升許可權。因此，在容器環境中停用這些許可權是一種重要的安全措施。

如何停用setuid和setgid？

可以在Dockerfile中加入以下指令，在建置映像檔時移除這些特殊許可權。

RUN find / -perm +6000 -type f -exec chmod a-s {} \; || true

注意事項

• 謹慎評估是否會影響到合法程式的正常運作。
• 確保移除這些許可權不會導致應用程式功能異常。

Docker 安全強化與資源管理

在現代化的容器化佈署中，Docker 提供了多種安全機制來保護容器和主機的安全。這些安全措施包括功能限制、資源控制以及內容信任驗證等，以確保容器的安全執行和資源的有效分配。

限制 Docker 容器的 Linux 功能

預設情況下，Docker 容器以有限的 Linux 許可權啟動。這種設計使得管理員能夠根據實際需求精細化地分配許可權，從而提高容器的安全性。

停用 setuid 和 setgid 位

在啟動 Docker 容器時，可以透過以下命令停用 setuid 和 setgid 功能：

$ docker run -d --cap-drop SETGID --cap-drop SETUID

內容信任驗證

Docker 提供了內容信任（Content Trust）機制，用於驗證從 Docker Registry 或 Docker Hub 下載的映像是否經過簽署和驗證。這可以有效防止惡意映像或被篡改的映像在系統中執行。

要啟用內容信任，需要設定環境變數 DOCKER_CONTENT_TRUST 為 1：

export DOCKER_CONTENT_TRUST=1

下載映像時，可以透過指定映像的 SHA256 雜湊值來驗證映像的完整性：

$ docker pull someimage@sha256:a25306f3850e1bd44541976aa7b5fd0a29be

資源限制

預設情況下，Docker 服務會公平地分配主機資源給所有容器。然而，這種公平分配機制可能會導致某些容器過度佔用資源，進而影響整個基礎設施的穩定性。

為了避免這種情況，可以使用 docker run 命令的各種選項來限制容器的資源使用，例如 CPU、記憶體和裝置存取：

$ docker run [OPTIONS] [IMAGE] [COMMAND] [ARG]

可以使用以下命令檢視與 CPU、裝置和記憶體相關的選項：

$ docker run --help | grep 'cpu\|device\|memory'

Docker 功能詳解

Docker 容器的安全性建立在 Linux 功能（Capabilities）的基礎上。這些功能允許管理員精細化地控制容器內的程式對核心資源的存取許可權。

以下是一些常見的 Linux 功能：

• CAP_SYSLOG：修改核心日誌行為。
• CAP_NET_ADMIN：修改網路組態。
• CAP_SYS_MODULE：管理核心模組。
• CAP_SYS_RAWIO：修改核心記憶體。
• CAP_SYS_NICE：修改程式優先順序。
• CAP_SYS_TIME：修改系統時鐘。
• CAP_SYS_TTY_CONFIG：組態 TTY 裝置。
• CAP_AUDIT_CONTROL：組態稽核子系統。

這些功能使得管理員可以在不授予超級使用者許可權的情況下，允許程式執行特定的特權操作。

列出和管理 Linux 功能

Linux 的 libcap 套件提供了多個工具來列出和管理功能，包括：

• getcap：列出檔案的功能。
• setcap：設定或刪除檔案的功能。
• getpcaps：列出程式的功能。
• capsh：提供命令列介面來測試和探索功能。

使用 capsh 命令可以檢視預設啟用的功能，例如：

$ capsh --print

內容解密：

此命令會顯示目前 shell 程式的功能組態，包括允許的功能、界限功能集等。透過此命令，管理員可以瞭解目前程式所擁有的許可權，從而更好地進行安全組態。

圖表翻譯：

下圖展示了 Linux 功能的架構及其與 Docker 容器的關係： 圖表翻譯： 此圖示展示了 Linux 功能如何透過限制許可權來增強 Docker 容器的安全性，並進一步實作資源限制和內容信任驗證，以達到安全佈署的目的。

Docker 容器中的 Linux 功能管理

Docker 容器預設啟用了特定的 Linux 功能（Capabilities），以提供必要的許可權給容器內的程式執行。這些功能允許容器在不擁有完整 root 許可權的情況下，執行特定的特權操作。本章節將詳細介紹 Docker 容器的功能管理，包括如何新增和移除功能，以及相關的安全性影響。

預設啟用的功能

預設情況下，Docker 啟用了以下功能：

• chown
• dacoverride
• fowner
• kill
• setgid
• setuid
• setpcap
• netbindservice
• netraw
• syschroot
• mknod
• setfcap
• auditwrite

這些功能賦予了容器內 root 使用者執行特定操作的許可權，但並非所有功能都是必要的。根據容器的實際需求，可以新增或移除特定的功能，以增強安全性。

新增和移除功能

Docker 提供了 --cap-add 和 --cap-drop 引數來新增和移除容器的功能。例如：

$ docker run --rm -it --cap-add CAP_CHOWN alpine sh

上述命令啟動了一個 Alpine 容器，並新增了 CAP_CHOWN 功能，允許容器內的 root 使用者更改檔案的所有權。

相反地，可以使用 --cap-drop 移除特定的功能：

$ docker run --rm -it --cap-drop CAP_CHOWN alpine sh

內容解密：

此命令移除了 CAP_CHOWN 功能，使得容器內的 root 使用者無法更改檔案的所有權。這增強了安全性，防止潛在的攻擊者利用此功能進行破壞。

也可以先移除所有功能，然後再新增特定的功能：

$ docker run --rm -it --cap-drop ALL --cap-add CAP_CHOWN alpine sh

內容解密：

此命令首先移除了所有功能，然後新增了 CAP_CHOWN 功能。這種方法確保了容器僅擁有必要的許可權，從而最大程度地減少了安全風險。

例項分析：移除 CHOWN 功能

以下範例展示了在 Ubuntu 容器中移除 CHOWN 功能的結果：

$ docker run --cap-add=ALL --cap-drop=CHOWN -ti ubuntu sh

在這個容器中，嘗試更改檔案所有權的操作將會失敗，並顯示「Operation not permitted」錯誤訊息。

內容解密：

此範例說明瞭移除 CHOWN 功能對容器內操作的影響。透過限制不必要的功能，可以有效防止潛在的安全威脅。

停用 ping 命令

可以透過移除 NET_RAW 功能來停用容器的 ping 命令：

$ docker run --it --cap-drop NET_RAW python sh

在這個容器中執行 ping 命令時，將會傳回「ping: Lacking privilege for raw socket」錯誤訊息。

內容解密：

移除 NET_RAW 功能可以防止容器內的程式使用原始通訊端，從而增強安全性。這種做法可以有效限制容器的網路操作許可權。

最佳實踐：最小化功能集

最佳實踐是先移除所有功能，然後根據容器的需求新增必要的功能：

$ docker run --rm -it --cap-drop ALL --cap-add NET_ADMIN python sh

這種方法確保了容器僅擁有執行所需操作的最少許可權，從而最大程度地減少了安全風險。

內容解密：

透過最小化容器的功能集，可以顯著提高容器的安全性。這種做法符合最小許可權原則，是保護容器化應用程式的最佳實踐之一。

網路管理功能的新增

可以透過新增 NET_ADMIN 功能來允許容器組態網路介面：

$ docker run -ti --cap-add=NET_ADMIN python sh -c "ip link set eth0 down"

在這個範例中，新增 NET_ADMIN 功能使得容器能夠停用網路介面，從而影響網路連線。

內容解密：

NET_ADMIN 功能賦予了容器對網路介面的控制權。雖然這對於某些應用程式是必要的，但也可能帶來安全風險，因此應謹慎使用。

安全影響與建議

某些功能，如 CAP_NET_RAW 和 CAP_NET_ADMIN，具有重要的安全影響。CAP_NET_RAW 允許容器內的程式生成任意封包，可能被用於發起 MITM 攻擊。因此，建議停用不必要的功能，尤其是那些涉及網路操作的敏感功能。

內容解密：

瞭解不同功能的安全影響對於正確組態容器的安全性至關重要。透過謹慎管理功能，可以有效降低容器化環境中的安全風險。

管理容器網路與安全性

在前面的章節中，我們已經討論瞭如何使用 NETRAW 和 NETADMIN 功能來管理網路。在本章節中，我們將探討如何執行特權容器以及 Docker Content Trust（DCT）機制，以確保容器的安全性和來源可信度。

執行特權容器

在某些情況下，您可能需要容器具備特殊的核心功能，而這些功能通常是被禁止的。例如，掛載 USB 驅動器、修改網路設定或建立新的 Unix 裝置。以下程式碼嘗試更改容器在 eth0 介面上的 MAC 位址：

$ docker run --rm -ti ubuntu /bin/bash
root@b328e3449da8:/# ip link ls
1: lo: mtu 65536 qdisc noqueue state ...
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
9: eth0: mtu 1500 qdisc noqueue state ...
   link/ether 02:42:0a:00:00:04 brd ff:ff:ff:ff:ff:ff
root@b328e3449da8:/# ip link set eth0 address 02:0a:03:0b:04:0c
RTNETLINK answers: Operation not permitted

內容解密：

此範例展示了在未具備特權的容器中嘗試修改網路介面 MAC 位址的過程。由於 Linux 核心限制，此操作被阻止。

為瞭解決這個問題，可以使用 --privileged=true 引數啟動容器，從而賦予容器更多的許可權：

$ docker run -ti --rm --privileged=true ubuntu /bin/bash
root@88d9d17dc13c:/# ip link ls
1: lo: mtu 65536 qdisc noqueue state ...
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
9: eth0: mtu 1500 qdisc noqueue state ...
   link/ether 02:42:0a:00:00:04 brd ff:ff:ff:ff:ff:ff
root@88d9d17dc13c:/# ip link set eth0 address 02:0a:03:0b:04:0c
root@88d9d17dc13c:/# ip link ls
1: lo: mtu 65536 qdisc noqueue state ...
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
9: eth0: mtu 1500 qdisc noqueue state ...
   link/ether 02:0a:03:0b:04:0c brd ff:ff:ff:ff:ff:ff

內容解密：

此範例展示了使用 --privileged=true 引數啟動容器後，成功修改了容器的 MAC 位址。這種方式賦予了容器更多的核心功能，使其能夠執行通常需要 root 許可權的操作，例如建立裝置或掛載磁碟映像。

Docker Content Trust（DCT）

Docker Content Trust（DCT）是 Docker 提供的一種解決方案，用於確保容器的安全性和來源可信度。DCT 允許開發人員對其內容進行簽名，從而完成可靠的分發機制。當使用者從儲存函式庫下載映像時，DCT 可以檢查映像的簽名，並提供包含公鑰的憑證，以驗證映像的來源。

要啟用 DCT，可以設定環境變數 DOCKER_CONTENT_TRUST：

$ export DOCKER_CONTENT_TRUST=1

內容解密：

DCT 預設是停用的。啟用後，Docker 使用者端將只允許使用已簽名的映像標籤進行提取操作。所有金鑰都儲存在使用者端，只有時間戳和簽名作為元資料儲存在 Docker 登入檔中。

簽署映像的機制

為了確保映像的完整性和可信度，Docker 提供了對映像進行簽名的機制。這種機制可以驗證映像是否被篡改或是否來自可信的來源。

要簽署映像，需要設定環境變數 DOCKER_CONTENT_TRUST 和 DOCKER_CONTENT_TRUST_SERVER：

export DOCKER_CONTENT_TRUST=1
export DOCKER_CONTENT_TRUST_SERVER="http://notary.docker.io"

內容解密：

第一個環境變數用於啟用或停用 DCT 驗證。第二個環境變數定義了 Notary 伺服器的 URL，大多數公司使用 Docker Hub 映像儲存函式庫，其 Notary 服務由 Docker 公司提供。

當映像被上傳時，Docker 使用者端將傳回一個代表映像雜湊的字串。這個雜湊值將用於在提取映像時進行驗證。

圖表說明

@startuml
skinparam backgroundColor #FEFEFE
skinparam componentStyle rectangle

title Docker容器安全強化最佳實務

package "Docker 架構" {
    actor "開發者" as dev

    package "Docker Engine" {
        component [Docker Daemon] as daemon
        component [Docker CLI] as cli
        component [REST API] as api
    }

    package "容器運行時" {
        component [containerd] as containerd
        component [runc] as runc
    }

    package "儲存" {
        database [Images] as images
        database [Volumes] as volumes
        database [Networks] as networks
    }

    cloud "Registry" as registry
}

dev --> cli : 命令操作
cli --> api : API 呼叫
api --> daemon : 處理請求
daemon --> containerd : 容器管理
containerd --> runc : 執行容器
daemon --> images : 映像檔管理
daemon --> registry : 拉取/推送
daemon --> volumes : 資料持久化
daemon --> networks : 網路配置

@enduml

圖表翻譯： 此圖表展示了啟用 Docker Content Trust（DCT）的流程。首先，需要設定 DOCKER_CONTENT_TRUST 環境變數以啟用 DCT。啟用後，Docker 將驗證映像的簽名，以確保其完整性，從而防止惡意程式碼的注入。

後續章節預覽

在下一章節中，我們將探討容器的網路安全，包括如何組態和保護容器的網路介面。我們還將討論如何使用網路策略來控制容器的網路存取，以及如何檢測和防禦網路攻擊。

相關主題

• 容器網路安全
• 網路策略組態
• 網路攻擊檢測與防禦

這些主題將幫助您更全面地瞭解容器安全性的相關知識，並提供實用的技術來保護您的容器化應用。