强化 Docker 桌面概述

笔记
Hardened Docker Desktop 仅适用于 Docker Business 客户。

Hardened Docker Desktop 是 Docker Desktop 的一组安全功能，旨在提高开发人员环境的安全性，而不影响开发人员的体验或生产力。

它允许管理员定义和实施强大的安全设置。它保证开发人员和他们部署的容器无法有意或无意地规避这些设置。此外，您可以增强容器隔离，这有助于减轻潜在的安全威胁，例如破坏 Docker Desktop Linux VM 和底层主机的恶意负载。

强化的 Docker Desktop 将 Docker Desktop 配置的所有权边界移至组织，这意味着 Docker Desktop 的用户无法更改管理员设置的任何安全控制。

它适用于具有安全意识的组织：

这包括：

设置管理，帮助管理员自信地管理和控制组织内 Docker Desktop 的使用。
增强型容器隔离 (ECI) 是一种通过防止容器在 Docker Desktop 的 Linux VM 中以 root 身份运行来立即增强安全性的设置，并确保容器无法绕过或修改使用设置管理设置的任何配置。
注册表访问管理 (RAM)，允许管理员控制开发人员可以访问的注册表。
镜像访问管理 (IAM)，使管理员能够控制开发人员可以从 Docker Hub 提取哪些镜像。

强化桌面功能独立工作，但共同创建深度防御策略，保护开发人员工作站免受跨各个功能层的潜在攻击，例如配置 Docker Desktop、拉取容器映像和运行容器映像。这种多层防御方法可确保全面的安全。

它有助于缓解以下威胁：

恶意软件和供应链攻击。 RAM 和 IAM 可防止开发人员访问某些容器注册表和映像类型，从而显着降低恶意负载的风险。此外，ECI 通过在 Linux 用户命名空间内无需 root 权限运行容器来限制带有恶意负载的容器的影响。
内部威胁。设置管理配置和锁定各种 Docker Desktop 设置，例如代理设置、ECI，并防止 Docker API 暴露。这有助于管理员执行公司策略，并防止开发人员有意或无意地引入不安全的配置。