do software. ◦ Sem limites no acesso de rede desde o container. • Risco em imagens ◦ Vulnerabilidades de imagem ◦ Defeitos na configuração da imagem ◦ Embedded malware ◦ Embedded secrets ◦ Uso de imagens não confiáveis
--privileged ubuntu grant it only the specific capabilities that it needs docker run --cap-drop=ALL --cap-add=CAP_NET_ADMIN docker run -d --cap-add SYS_PTRACE ubuntu
Run containers as non-root users RUN groupadd -r user && useradd -r -g user user USER user Disable setuid rights in Dockerfile: RUN find / -perm +6000 -type f -exec chmod a-s {} \; \ || true
Scan container images to detect and prevent containers with known vulnerabilities or malicious packages docker pull debian Sign container images - Docker Content Trust guarantees the integrity of the publisher and the integrity of the contents of a container image export DOCKER_CONTENT_TRUST=1
aplicação: infraestrutura, libs, CI/CD. • Proteção da aplicação e do pipeline de containers. • Usar ferramentas de segurança, muitas delas open source.
Security • CIS Docker 1.13.0 Benchmark • Testing Docker Images Security: Jose Manuel Ortega • Google Security Containers • Isolate containers with a user namespace • Understanding-and-securing-linux-namespaces