基于Docker的可信容器

摘要：針對Docker目前存在的容器及鏡像被篡改、容器的惡意進程及非授權通信問題,利用可信計算的相關技術如信任鏈、完整性度量以及實時監控等方法,設計并實現了一個可信增強的Docker容器-DockerGuard.DockerGuard構造了一條從硬件到容器內部進程和文件的信任鏈,同時增加了包括進程監控、文件系統度量、網絡監控三大功能于一體的安全防護模塊,從而全方位對Docker進行度量與細粒度的監控.基于Docker1.6.0實現了具備上述功能的安全增強系統DockerGuard,并對系統進行了性能評估.結果表明,DockerGuard可以保護容器及鏡像不被篡改,同時限制容器網絡通信行為并監控容器內部進程,極大地提高了Docker容器的安全性.