加固版 Docker Desktop 概述

加固版 Docker Desktop 是一組安全功能，旨在提升開發者環境的安全性，同時對開發者體驗或生產力影響最小。

它允許您強制執行嚴格的安全設定，阻止開發者及其容器無論是故意的還是無意的繞過這些控制措施。此外，您可以增強容器隔離，以減輕潛在的安全威脅，例如惡意負載破壞 Docker Desktop Linux VM 和底層主機。

加固版 Docker Desktop 將 Docker Desktop 配置的所有權邊界轉移給組織，這意味著您設定的任何安全控制措施無法被 Docker Desktop 使用者更改。

它適用於具有安全意識的組織，這些組織：

• 不授予其使用者在其機器上的 root 或管理員許可權
• 希望 Docker Desktop 處於其組織的集中控制之下
• 有某些合規性義務

它如何幫助我的組織？

加固版 Desktop 功能獨立工作但協同作用，以建立縱深防禦策略，保護開發者工作站免受跨越不同功能層（例如配置 Docker Desktop、拉取容器映象和執行容器映象）的潛在攻擊。這種多層防禦方法確保了全面的安全性。它有助於減輕以下威脅：

• 惡意軟體和供應鏈攻擊：登錄檔訪問管理和映象訪問管理阻止開發者訪問特定容器登錄檔和映象型別，顯著降低了惡意負載的風險。此外，增強容器隔離 (ECI) 透過在沒有 root 許可權的情況下在 Linux 使用者名稱空間內執行帶有惡意負載的容器來限制其影響。
• 橫向移動：空氣隔離容器允許您配置容器的網路訪問限制，從而阻止惡意容器在組織的網路內執行橫向移動。
• 內部威脅：設定管理配置並鎖定各種 Docker Desktop 設定，以便您可以強制執行公司策略，並阻止開發者無論是故意的還是無意的引入不安全的配置。