本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:随着云原生技术的发展,容器应用越来越广泛。作为容器运行的载体,镜像对于容器安全起着至关重要的作用。为更好理解容器镜像安全扫描的原理,指导容器安全实践,详细分析镜像在本地和仓库中的存储原理,总结其存储规律。最后,以1个含有木马病毒的镜像为例,分析镜像非法篡改过程。
关键词:容器镜像,镜像存储,镜像扫描
doi:10.12045/j.issn.1007-3043.2022.09.017
概述
近10年来,云计算的发展取得了显著的成就,虚拟化作为其中关键技术发展日益迅速,特别是轻量级的虚拟化技术——Docker容器技术。Docker提供一种可移植、可重用且自动化的方式来打包和运行应用。随着容器技术的广泛应用,Docker容器的安全问题日益突出,尤其是容器镜像安全问题。
镜像仓库是容器镜像的主要传播方式,Docker Hub作为 Docker官方的镜像仓库,对于镜像上传过程缺乏完善的监督,导致镜像的版本、质量和安全性处于不可控的状态。文献[1]分析Docker Hub仓库中的2500个镜像后指出,高达82%被认证的镜像包含至少1个高危漏洞,而不含漏洞的镜像仅占17.8%。可见镜像安全已经成为容器面临的最主要风险之一。为方便读者更好理解镜像的脆弱性,本文详细分析了镜像在仓库和本地存储的结构特点,并针对性地分析了镜像存在的安全风险。最后以1个含有木马病毒的镜像为例,通过对比镜像文件的变化,分析了非法篡改镜像的过程,最后简要介绍了镜像漏洞扫描器的工作原理。