如何使用趋势科技服务器深度安全防护系统保护我的 Docker 容器？

这是趋势科技服务器深度安全防护系统 10 中的新功能。

Docker 部署带来的好处是具有实际意义的，但 Docker 主机操作系统 (OS) 本身巨大的攻击面会令人担忧。与许多设计完善的软件一样，通过对您的部署进行操作系统强化以及应用最佳做法（例如 Center for Internet Security (CIS) Docker Benchmark），可提供坚实的基础作为起点。打开稳固基础后，通过将趋势科技服务器深度安全防护系统添加到部署中，您有权使用趋势科技在保护物理工作负载、虚拟工作负载和云工作负载方面的丰富经验，以及来自趋势科技云安全智能防护网络的实时威胁信息。趋势科技服务器深度安全防护系统不但能够保护您的部署，还能帮助您满足并保持合规要求。

趋势科技服务器深度安全防护系统通过以下方式保护在 Linux 发行版上运行的 Docker 主机和容器：

• 通过使用标记和智能文件夹帮助您更容易地识别、查找和保护部署中的 Docker 主机
• 通过帮助您控制允许运行的应用程序，防止在 Docker 主机和 Docker 守护程序上执行未经授权的应用程序
• 通过以虚拟方式修补新发现的漏洞来保护 Docker 主机和容器免受漏洞攻击，从而保护它们免受已知入侵和零时差入侵
• 为 Docker 主机和容器中使用的文件系统提供实时防恶意软件检测
• 监控 Docker 主机对系统文件进行的意外更改，并在操作系统日志中记录可疑事件时通知您

趋势科技服务器深度安全防护系统 Docker 防护控件在主机系统级别工作，这意味着必须将趋势科技服务器深度安全防护系统客户端安装在 Docker 主机系统上。

Docker 主机的趋势科技服务器深度安全防护系统防护

• 虚拟修补/入侵防御服务 (IPS)
• 防恶意软件
• 完整性监控
• 日志审查
• 应用程序控制
• 防火墙防护
• Web 信誉

Docker 容器的趋势科技服务器深度安全防护系统防护

• 虚拟修补/入侵防御服务 (IPS)
• 防恶意软件

部署注意事项和限制

• Docker 在正常操作期间会管理 iptables 规则。如果已启用入侵防御模块或防火墙模块，趋势科技服务器深度安全防护系统通常会移除 iptables 规则，这样会导致 Docker 容器的网络功能无法工作。要避免发生这种冲突，请在您拥有的 Docker 主机上安装趋势科技服务器深度安全防护系统客户端前，通过在 Docker 主机上的以下路径创建一个空文件，以防止趋势科技服务器深度安全防护系统客户端安装过程禁用 iptables：/etc/use_dsa_with_iptables
• 虽然趋势科技服务器深度安全防护系统入侵防御控件在主机级别工作，但它也可以保护公开的容器端口号上的容器流量。由于 Docker 允许多个应用程序在同一台 Docker 主机上运行，因此单个入侵防御策略将应用到所有 Docker 应用程序。这意味着 Docker 部署不应依赖“漏洞扫描 (推荐设置)”。当引入在运行之前扫描注册表中的镜像的功能时，将在未来版本中修复此问题。