集装箱之间的通信是否需要加密？

Question

同一码头环境中的两个集装箱之间的通信是否需要加密？

集装箱有可能窥探两个集装箱之间未经加密的通信吗？

Answer 1

虽然这在一定程度上取决于所使用环境的性质，但在一般情况下，我会说您很可能希望加密两个容器之间的通信。

在默认的Docker设置中(例如，没有需要考虑的复杂的覆盖网络)，容器通过默认的Docker桥相互通信。此外，默认情况下，容器被分配了NET_RAW特权，这意味着它们可以尝试执行类似ARP欺骗攻击的操作( 这是杰西·赫兹的白皮书中有这方面的详细信息)。

因此，如果在两个容器之间使用未加密的通信，那么在同一个主机上运行的第三个恶意容器可能会试图嗅探两个容器之间的通信量。

这个威胁场景有多现实，完全取决于您的应用程序。

Answer 2

正如其他答案所指出的那样，第三个集装箱确实有可能嗅到集装箱与集装箱之间的交通。然而，即使它本来是安全的(例如，如果您信任主机及其所有容器)，所有的dockers都有望几乎无缝地从一个主机迁移到另一个主机。

尽管“现在”不是这种情况，但将来可能会发生这样的情况:它们确实是在不同的机器中迁移的，而且您(或者更糟糕的是，不知道应用程序逻辑的不同管理员)可能不记得在规划时没有加密通信量。