强化 Docker Desktop 概述
目录
注意
强化的 Docker Desktop 仅适用于 Docker Business 客户。
强化的 Docker Desktop 是一组安全功能,旨在提高开发人员环境的安全性,同时将对开发人员体验或工作效率的影响降至最低。
它允许您强制实施严格的安全设置,防止开发人员及其容器有意或无意地绕过这些控制。此外,您还可以增强容器隔离,以减轻潜在的安全威胁,例如恶意负载破坏 Docker Desktop Linux 虚拟机和底层主机。
强化的 Docker Desktop 将 Docker Desktop 配置的所有权边界移动到组织,这意味着 Docker Desktop 的用户无法更改您设置的任何安全控制。
它适用于具有安全意识的组织:
- 不要向用户授予其计算机上的 root 或 administrator 访问权限
- 希望 Docker Desktop 处于其组织的集中控制之下
- 承担一定的合规义务
它对我的组织有什么帮助?
强化桌面功能独立但共同工作,以创建深度防御策略,保护开发人员工作站免受跨各个功能层的潜在攻击,例如配置 Docker Desktop、提取容器镜像和运行容器镜像。这种多层防御方法可确保全面的安全性。它有助于缓解以下威胁:
- 恶意软件和供应链攻击:Registry Access Management 和 Image Access Management 可防止开发人员访问某些容器注册表和镜像类型,从而显著降低恶意负载的风险。此外,增强型容器隔离 (ECI) 通过在 Linux 用户命名空间内在没有 root 权限的情况下运行具有恶意负载的容器来限制这些容器的影响。
- 横向移动:气隙容器允许您为容器配置网络访问限制,从而防止恶意容器在组织网络内执行横向移动。
- 内部威胁:设置管理配置并锁定各种 Docker Desktop 设置,以便您可以执行公司策略并防止开发人员有意或无意地引入不安全的配置。