Docker發布容器平台新版引入秘密管理功能

docker發布了其開源和商用容器平台的更新版本，加入了新的安全特性以幫助保護特權訪問資訊。

docker正在推進其開源容器引擎，以及可支援商用的 docker datacenter 平台，使其功能更強，對容器中秘密防護更有力。

容器應用環境中，秘密，指的是需要保護的訪問令牌、口令和其他特權訪問資訊。docker 1.13 版容器引擎於1月19日登台亮相，主推在2月8日發布的 docker 1.13.1 更新中進一步被夯實的新秘密管理功能。

另外，docker還將該秘密管理功能引入到2月9日發布的基於 docker 1.13.1 的 docker datacenter 新更新上。 docker datacenter 是docker公司的旗艦商業平台，於2023年2月首次發布。

docker安全總監內森·麥考利稱：「作為平台提供商，我們想要確保自己在幫助人們保護應用及其所用秘密的安全上表現良好。」

從部署的角度看，docker引擎集群(swarm)中，只有簽名應用才可以訪問秘密。麥考利強調：同一基礎設施上執行的應用不應該知道相互的秘密，他們應該只知道自身被授權訪問的那些秘密。

開源 docker 1.13.1 更新中的秘密管理功能，與 docker datacenter 提供功能裡最主要的區別，在於額外的訪問控制。docker swarm 在應用執行於集群上時對秘密的訪問設定了訪問控制。

docker datacenter 新增的，是為與系統互動的人類開發者和管理員準備的訪問控制。於是，你可以將秘密分發給團隊，該團隊就能分發秘密給他們自己的應用了。

docker datacenter 更新中基於角色的訪問控制(rbac)，還可與現有的企業身份識別系統整合，包括微軟的活動目錄。

簡單的秘密儲存顯然不足以保證這些秘密資訊的安全，因為其被某個應用洩露的潛在風險總是存在的。

「當秘密沒有實際儲存在應用本身的時候，應用才是更安全的。」麥考利解釋道。

為此，docker加密了swarm中秘密存放地的後端儲存，所有到容器應用的秘密傳輸都發生在安全tls隧道中。秘密只在記憶體中對應用可用，且不會再儲存到單個應用容器的儲存段。

為應用設定秘密管理功能的想法不算新鮮。開源vault專案就是提供秘密管理的又一例子，2月2號發布的aqua容器安全平台 2.0 更新中也有整合。

「vault實現了乙個好系統，但沒有預設整合到容器管理平台。」麥考利說道，「docker的理念在於，你需要乙個深度整合的秘密管理功能，來銜接開發者和運營工作流。

Docker發布容器平台新版 引入秘密管理功能