加固版 Docker Desktop 概述

加固版 Docker Desktop 是一组安全功能，旨在提升开发者环境的安全性，同时对开发者体验或生产力影响最小。

它允许您强制执行严格的安全设置，阻止开发者及其容器无论是故意的还是无意的绕过这些控制措施。此外，您可以增强容器隔离，以减轻潜在的安全威胁，例如恶意负载破坏 Docker Desktop Linux VM 和底层主机。

加固版 Docker Desktop 将 Docker Desktop 配置的所有权边界转移给组织，这意味着您设置的任何安全控制措施无法被 Docker Desktop 用户更改。

它适用于具有安全意识的组织，这些组织：

• 不授予其用户在其机器上的 root 或管理员权限
• 希望 Docker Desktop 处于其组织的集中控制之下
• 有某些合规性义务

它如何帮助我的组织？

加固版 Desktop 功能独立工作但协同作用，以创建纵深防御策略，保护开发者工作站免受跨越不同功能层（例如配置 Docker Desktop、拉取容器镜像和运行容器镜像）的潜在攻击。这种多层防御方法确保了全面的安全性。它有助于减轻以下威胁：

• 恶意软件和供应链攻击：注册表访问管理和镜像访问管理阻止开发者访问特定容器注册表和镜像类型，显著降低了恶意负载的风险。此外，增强容器隔离 (ECI) 通过在没有 root 权限的情况下在 Linux 用户命名空间内运行带有恶意负载的容器来限制其影响。
• 横向移动：空气隔离容器允许您配置容器的网络访问限制，从而阻止恶意容器在组织的网络内执行横向移动。
• 内部威胁：设置管理配置并锁定各种 Docker Desktop 设置，以便您可以强制执行公司策略，并阻止开发者无论是故意的还是无意的引入不安全的配置。