什么是加固镜像,为什么要使用它们?
在当今多样化的软件环境中,容器镜像通常设计为具有灵活性和广泛的兼容性。虽然这使得它们适用于许多用例,但也可能导致镜像包含超出特定工作负载所需的更多组件。Docker 加固镜像采用最小化设计的方法,有助于减少镜像大小、限制攻击面,并简化安全和合规工作流程。
加固镜像通过最小化容器镜像中的内容来解决这一问题。更少的软件意味着更少的漏洞、更快的部署,以及每周需要处理的红色告警更少。
对于平台工程师和安全团队而言,加固镜像提供了一种摆脱 CVE 分类循环的方式,让您能够专注于交付安全、合规的基础设施,而无需持续救火。
什么是加固镜像?
加固镜像是经过精心最小化和安全加固的容器镜像,旨在减少漏洞并满足严格的安全和合规要求。与可能包含增加风险的非必要组件的标准镜像不同,加固镜像经过精简,仅包含安全运行应用程序所需的组件。
加固镜像的优势
- 减少攻击面:通过移除非必要组件,加固镜像限制了潜在的攻击入口点。
- 改善安全态势:定期更新和漏洞扫描有助于确保加固镜像在长期保持安全。
- 促进合规:包含签名元数据(如 SBOM)有助于满足监管和组织合规标准。
- 提高运行效率:更小的镜像大小带来更快的拉取速度、更低的运行时开销和更少的云资源成本。
什么是 Docker 加固镜像?
Docker 加固镜像(Docker Hardened Images,简称 DHIs)通过将最小化、安全设计与企业级支持和工具相结合,将加固镜像提升到了更高水平。这些镜像以安全为核心构建,经过持续维护、测试和验证,以满足当今最严格的软件供应链和合规标准。
Docker 加固镜像默认安全、设计最小化,并由 Docker 维护,您无需操心。
Docker 加固镜像与通用加固镜像的区别
-
符合 SLSA 标准的构建:Docker 加固镜像按照 SLSA Build Level 3 构建,确保构建过程防篡改、可验证且可审计,从而抵御供应链威胁。
-
无发行版(Distroless)方法:与捆绑整个操作系统、包含 shell、包管理器和调试工具的传统基础镜像不同,无发行版镜像 仅保留运行应用程序所需的最小操作系统组件。通过排除不必要的工具和库,它们将攻击面减少了高达 95%,并可提高性能和镜像大小。
-
持续维护:所有 DHIs 均经过持续监控和更新,以维持接近零已知可利用 CVE 的状态,帮助您的团队避免补丁疲劳和意外告警。
-
合规就绪:每个镜像都包含加密签名的元数据:
-
以兼容性为中心的设计:Docker 加固镜像在提供最小运行环境的同时,保持与常见 Linux 发行版的兼容性。它们移除非必要组件(如 shell 和包管理器)以增强安全性,但仍保留基于熟悉发行版标准构建的小型基础层。镜像通常提供 musl libc(基于 Alpine)和 glibc(基于 Debian)版本,支持广泛的应用兼容性需求。
为什么要使用 Docker 加固镜像?
Docker 加固镜像(DHIs)默认安全、设计最小化,并由 Docker 维护,您无需操心。它们提供:
- 为安心而构建的镜像:极简且无发行版,DHIs 消除了高达 95% 的传统容器攻击面。
- 不再为补丁恐慌:通过持续 CVE 扫描和 SLA 支持的修复,Docker 帮助您领先于威胁。
- 审计就绪的镜像:所有 DHIs 均包含签名的 SBOM、VEX 和溯源信息,支持安全和合规工作流程。
- 与您的技术栈兼容的镜像:提供 Alpine 和 Debian 版本,DHIs 可直接集成到您现有的 Dockerfile 和流水线中。
- 企业级支持的镜像:通过 Docker 的支持和对关键漏洞的快速响应,获得安心保障。