强化版 Docker Desktop 概述

目录

注意

强化版 Docker Desktop 仅适用于 Docker Business 客户。

强化版 Docker Desktop 是一组安全功能,旨在提高开发环境的安全性,同时最大限度地减少对开发者体验或生产力的影响。

它允许您强制执行严格的安全设置,防止开发人员及其容器有意或无意地绕过这些控制。此外,您可以增强容器隔离,以减轻潜在的安全威胁,例如恶意有效负载破坏 Docker Desktop Linux 虚拟机和底层主机。

强化版 Docker Desktop 将 Docker Desktop 配置的所有权边界移至组织,这意味着您设置的任何安全控制都不能被 Docker Desktop 的用户更改。

它适用于重视安全的组织,这些组织:

  • 不向其用户授予其机器上的 root 或管理员访问权限
  • 希望 Docker Desktop 处于其组织的集中控制之下
  • 具有某些合规性义务

它如何帮助我的组织?

强化版 Desktop 功能独立工作,但共同创建纵深防御策略,保护开发人员工作站免受跨不同功能层的潜在攻击,例如配置 Docker Desktop、拉取容器镜像和运行容器镜像。这种多层防御方法确保了全面的安全。它有助于减轻以下威胁:

  • 恶意软件和供应链攻击:注册表访问管理和镜像访问管理可防止开发人员访问某些容器注册表和镜像类型,从而大大降低恶意有效负载的风险。此外,增强的容器隔离 (ECI) 通过在 Linux 用户命名空间内以非 root 权限运行它们来限制具有恶意有效负载的容器的影响。
  • 横向移动:隔离的容器允许您为容器配置网络访问限制,从而防止恶意容器在组织网络中进行横向移动。
  • 内部威胁:设置管理配置并锁定各种 Docker Desktop 设置,以便您可以强制执行公司策略并防止开发人员有意或无意地引入不安全的配置。
设置管理
了解设置管理如何保护开发人员的工作流程。
增强的容器隔离
了解增强的容器隔离如何防止容器攻击。
注册表访问管理
控制开发人员使用 Docker Desktop 时可以访问的注册表。
镜像访问管理
控制开发人员可以从 Docker Hub 拉取的镜像。
隔离的容器
限制容器访问不需要的网络资源。