Комментарии 10
Я бы начал с точки зрения, что запущенный контейнер — это лишь процесс в обычной ОС. Использует ядро хоста, использует ФС хоста. С точки зрения безопасности как минимум не хуже чем все эти процессы запускать на самом хосте без докера. А по дефолту и более изолированные они друг от друга
Если средства позволяют, можно использовать свежие версии vSphere. Там каждый контейнер запускается в отдельной виртуальной машине, соответственно с аппаратной виртуализацией. Вот только есть ли под эти версии сертифицированные СЗИ. С тем же vGate для новых версий, вроде, всё было проблематично...
Что мешает запускать докер внутри виртуалок? Для всех ВМ соблюдаются требования ГОСТа, а докер уже рассматривается как ПО, средство дополнительной изоляции процессов, использующее штатные средства ОС. Уровень безопасности в этом случае больше-равен уровня ВМ.
Имхо, лучше не упоминать про докер как средство дополнительной изоляции. Хотя бы потому что он им не является, просто популярный интерфейс к средствам изоляции ОС. Докер — просто средство запуска процессов в ВМ или на "голом" железе с удобным интерфейсом управления некоторыми средствами изоляции процессов ОС.
Даже сама архитектура докера больше подходит под прикладное ПО, высокоуровневый интерфейс, нежели под системное и никак не выглядит контейнерной виртуализацией, в отличие от тех же Virtuozzo и OpenVZ.
При большом желании это средство версионирования, упаковки, доставки и запуска целевого ПО, являющееся неотъемлемой частью этого ПО и функционирующее уровнем выше базовых компонент ПАК, обеспечивающих работу ПО и соответствующих требованиям ГОСТ.
Открыл стандарт. Зашел в раздел 7.8. Там в каждом предложении виртуальная машина. Почему вообще возник вопрос про докер?
Как подружить ГОСТ Р 57580 и контейнерную виртуализацию. Ответ Центробанка (и наши соображения на этот счет)