Обновленный Docker Datacenter защищает секреты контейнеров

Фирма Docker усиливает свой Open Source-движок контейнеров и свою коммерчески поддерживаемую платформу Docker Datacenter продвинутыми функциями, призванными улучшить защиту секретов контейнеров.

Секретами в контексте контейнерных приложений являются маркеры доступа, пароли и другая информация, связанная с привилегиями доступа, которая должна содержаться в тайне. Движок контейнеров в релизе Docker 1.13, дебютировавшем 19 января, содержит новую функцию управления секретами, которая получила дальнейшее улучшение в выпущенном 8 февраля обновлении Docker 1.13.1.

Функция управления секретами должна появиться и в анонсированном 9 февраля очередном обновлении Docker Datacenter, базирующемся на Docker 1.13.1. Docker Datacenter представляет собой флагманскую коммерческую платформу фирмы Docker, первый выпуск которой состоялся в феврале 2016 г.

«Поскольку мы поставляем платформу, нам необходимо хорошо помогать пользователям в защите приложений и секретов, которые используются приложениями», — сказал директор Docker по безопасности Натан Макколи.

С точки зрения развертывания, доступ к секретам могут иметь лишь выделенные приложения, работающие в кластере Docker-движков, который называют «swarm». Макколи подчеркнул, что приложения, работающие в одной инфраструктуре, не должны знать секреты друг друга, они должны знать только те секреты, которые специально авторизованы для доступа.

Основным различием функции управления секретами в обновлении Docker 1.13.1 с открытым исходным кодом и ее аналога в Docker Datacenter является наличие в последнем дополнительного контроля доступа. Макколи пояснил, что кластер Docker поддерживает контроль доступа для приложений, нуждающихся в доступе к секретам при запуске в кластере: «дополнительной возможностью Docker Datacenter является контроль доступа для разработчиков и администраторов, взаимодействующих с системой. Поэтому вы можете назначить секреты определенной группе, которой затем будет позволено назначить секреты своим собственным приложениям».

Контроль доступа на основе ролей в обновлении Docker Datacenter также можно интегрировать с существующими корпоративными системами идентификации, включая Microsoft Active Directory.

Однако простое защищенное хранение секретов недостаточно для их безопасности, поскольку еще существует потенциальный риск их утечки через приложение. «Безопасность приложений будет выше, когда реально секрет не хранится в самом приложении», — пояснил Макколи.

В этой связи Docker зашифровывает централизованное хранилище секретов в кластере, и вся передача секретов контейнеризованным приложениям происходит по туннелям Transport Layer Security (TLS). Секреты доступны приложениям только через оперативную память и не сохраняются в индивидуальном сегменте хранения данных контейнера приложения.

Идея иметь для приложений средство управления секретами в принципе не нова. Еще одной инициативой, предоставляющей управление секретами, является открытый проект Vault, который также интегрируется с выпущенным 2 февраля обновлением Aqua Container Security Platform 2.0.

По словам Макколи, «Vault сделал хорошую систему, но она не интегрирована напрямую в платформу управления контейнерами. Замысел Docker состоит в том, что пользователям нужны глубоко интегрированные средства управления секретами, способные быть мостом между деятельностью разработчиков и рабочими операциями».