強化版 Docker Desktop 概觀

目錄

注意

強化版 Docker Desktop 僅適用於 Docker Business 客戶。

強化版 Docker Desktop 是一組安全功能,旨在提升開發人員環境的安全性,同時將對開發人員體驗或生產力的影響降至最低。

它可讓您強制執行嚴格的安全設定,防止開發人員及其容器有意或無意地繞過這些控制。此外,您可以強化容器隔離,以減輕潛在的安全威脅,例如惡意酬載入侵 Docker Desktop Linux 虛擬機和底層主機。

強化版 Docker Desktop 將 Docker Desktop 設定的所有權界限轉移到組織,這表示您設定的任何安全控制都無法由 Docker Desktop 的使用者更改。

適用於注重安全的組織,這些組織

  • 不授予其使用者在其機器上的 root 或管理員存取權限
  • 希望 Docker Desktop 處於其組織的集中控制之下
  • 負有某些合規性義務

它如何幫助我的組織?

強化版 Desktop 功能獨立運作,但共同建立深度防禦策略,保護開發人員工作站免受各種功能層面的潛在攻擊,例如設定 Docker Desktop、提取容器映像檔和執行容器映像檔。這種多層防禦方法可確保全面的安全性。它有助於減輕以下威脅,例如

  • 惡意軟體和供應鏈攻擊:Registry 存取管理和映像檔存取管理可防止開發人員存取某些容器 Registry 和映像檔類型,從而顯著降低惡意酬載的風險。此外,強化容器隔離 (ECI) 可透過在 Linux 使用者命名空間內以非 root 權限執行容器來限制惡意酬載容器的影響。
  • 橫向移動:隔離容器可讓您設定容器的網路存取限制,從而防止惡意容器在組織網路內進行橫向移動。
  • 內部威脅:設定管理可設定和鎖定各種 Docker Desktop 設定,讓您可以強制執行公司政策,並防止開發人員有意或無意地引入不安全的設定。
設定管理
瞭解設定管理如何保護開發人員的工作流程。
強化容器隔離
瞭解強化容器隔離如何防止容器攻擊。
Registry 存取管理
控制開發人員在使用 Docker Desktop 時可以存取的 Registry。
映像檔存取管理
控制開發人員可以從 Docker Hub 提取的映像檔。
隔離容器 (Air-Gapped Containers)
限制容器存取不需要的網路資源。