什麼是強化映像檔?為什麼要使用它們?

目錄

在當今多樣化的軟體環境中,容器映像檔通常是為了靈活性和廣泛的相容性而設計的。雖然這使它們適用於許多使用情境,但這也可能導致映像檔中包含了超出特定工作負載所需的功能組件。Docker 強化映像檔採用「最小化設計」原則,有助於縮減映像檔大小、限制攻擊面,並簡化安全與合規工作流程。

強化映像檔透過最小化容器映像檔內的內容來解決此問題。更少的軟體意味著更少的漏洞、更快的部署,以及更少需要每週排查的警示儀表板。

對於平台工程師和安全團隊而言,強化映像檔提供了一種擺脫 CVE 分類與修復循環的方法,讓您能專注於交付安全且合規的基礎架構,而無需疲於應付不斷出現的問題。

什麼是強化映像檔?

強化映像檔是一種經過刻意最小化並採取安全強化措施的容器映像檔,旨在減少漏洞並滿足嚴格的安全與合規需求。與標準映像檔(可能包含增加風險的非必要組件)不同,強化映像檔經過精簡,僅包含安全執行您的應用程式所需的內容。

強化映像檔的優點

  • 縮小攻擊面:透過移除不必要的組件,強化映像檔限制了攻擊者的潛在入侵點。
  • 提升安全性:定期更新和漏洞掃描有助於確保強化映像檔隨時間保持安全。
  • 合規性促進:包含如 SBOM(軟體物料清單)等已簽章的中繼資料,有助於滿足監管與組織的合規標準。
  • 營運效率:更小的映像檔大小可加快下載速度、降低執行時的開銷,並減少雲端資源成本。

什麼是 Docker 強化映像檔 (Docker Hardened Image)?

Docker 強化映像檔 (DHI) 將強化映像檔提升到新的層次,結合了最小化的安全設計與企業級的支援與工具。這些映像檔以安全性為核心,經過持續維護、測試與驗證,以滿足當今最嚴苛的軟體供應鏈與合規標準。

Docker 強化映像檔預設即是安全的,設計上極致精簡,並且由專人維護,讓您無須操心。

Docker 強化映像檔與一般強化映像檔的區別

  • 符合 SLSA 標準的建置:Docker 強化映像檔的建置符合 SLSA Build Level 3,確保抗篡改、可驗證且可稽核的建置流程,以防禦供應鏈攻擊。

  • 無發行版 (Distroless) 方法:與傳統基礎映像檔(捆綁了完整作業系統、Shell、套件管理程式和除錯工具)不同,無發行版映像檔 (distroless images) 僅保留執行應用程式所需的最少作業系統組件。透過排除不必要的工具和函式庫,它們能將攻擊面減少高達 95%,並可提升效能與縮減映像檔大小。

  • 持續維護:所有 DHI 皆會持續受到監控與更新,以維持近乎零已知可利用的 CVE,協助您的團隊避免「修補疲勞 (patch fatigue)」和突如其來的警示。

  • 合規就緒:每個映像檔都包含加密簽章的中繼資料:

  • 專注於相容性的設計:Docker 強化映像檔在提供最小執行環境的同時,保持與常見 Linux 發行版的相容性。它們移除了 Shell 和套件管理程式等非必要組件以增強安全性,但保留了基於熟悉發行版標準建構的小型基礎層。映像檔通常提供 musl libc (基於 Alpine) 和 glibc (基於 Debian) 版本,以支援廣泛的應用程式相容性需求。

為什麼要使用 Docker 強化映像檔?

Docker 強化映像檔 (DHI) 預設安全、設計極簡,且由專人維護,讓您無須操心。它們提供:

  • 令人安心的映像檔:超精簡且無發行版的特性,DHI 消除了高達 95% 的傳統容器攻擊面。
  • 不再為修補漏洞而恐慌:透過持續的 CVE 掃描與 SLA 保障的修復服務,Docker 協助您在威脅發生前就做好準備。
  • 可直接稽核的映像檔:所有 DHI 皆包含經簽章的 SBOM、VEX 和溯源證明,支援安全與合規工作流程。
  • 與您的技術堆疊相容:提供 Alpine 和 Debian 版本,DHI 可直接放入您現有的 Dockerfile 與 CI/CD 管線中。
  • 企業級支援後盾:透過 Docker 的支援與針對關鍵漏洞的快速反應,讓您高枕無憂。
© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.