Allgemein Docker security

Docker Security / Sicherheit – Zusammenfassung

📋 Inhalt dieser Zusammenfassung

Dieses Dokument bietet eine praxisorientierte Übersicht zur Absicherung von Docker-Containern — von der Bedrohungsanalyse über konkrete Verteidigungsstrategien bis hin zu einer detaillierten Security-Checkliste mit über 100 Prüfpunkten.

🛡️ Bedrohungen im Überblick

  • Kernel Exploits: Durch den gemeinsam genutzten Kernel können Fehler container-übergreifend ausgenutzt werden.
  • Denial-of-Service (DoS): Ein einzelner Container kann alle Ressourcen (RAM, CPU, UIDs) beanspruchen.
  • Container-Breakouts: Ohne User-Namespaces erhalten ausgebrochene Prozesse Host-Rechte.
  • Vergiftete Images: Nicht verifizierte Images können Schadsoftware enthalten.
  • Verratene Geheimnisse: Passwörter und API-Keys in Images oder Umgebungsvariablen sind unsicher.

🔐 Verteidigungsstrategien

  • Least Privilege: Container nicht als root ausführen, Dateisysteme read-only mounten, Kernel-Capabilities einschränken.
  • Ressourcenbeschränkung: RAM, CPU und Neustarts per –memory, –cpu-shares und –ulimit begrenzen.
  • User Namespaces (userns-remap): Container-root auf unprivilegierte Host-UIDs abbilden.
  • Seccomp & AppArmor/SELinux: Systemaufrufe filtern und Mandatory Access Control erzwingen.
  • Verschlüsselte Kommunikation: TLS für Registry-Zugriffe, interne und externe Kommunikation.
  • Auditing: Alle Docker-relevanten Dateien und Verzeichnisse mit auditd überwachen.

✅ Security-Checkliste (105+ Punkte)

Das Dokument enthält eine vollständige Checkliste, strukturiert in sechs Bereiche:

  1. General Configuration — Host-Härtung, Docker-Version aktuell halten
  2. Linux Hosts Specific Configuration — Swap-Limits, separate Partition für /var/lib/docker, trusted users, auditd-Regeln
  3. Docker Daemon Configuration — ICC deaktivieren, Log-Level „info“, kein aufs-Treiber, TLS-Auth, userns-remap, cgroups
  4. Docker Daemon Configuration Files — Berechtigungen für docker.service, docker.socket, Zertifikatsdateien
  5. Container Images and Build File — USER-Direktive, HEALTHCHECK, Content-Trust, Image-Scanning, keine unnötigen Pakete
  6. Container Runtime & Security Operations — Capabilities droppen, privileged-Container vermeiden, Root-FS read-only, keine docker.sock mounten, Swarm-Mode absichern

🔧 Empfohlene Tool-Chain

Für den produktiven Einsatz werden folgende Werkzeuge empfohlen:

  • Image-Scanning: Clair, Falco, Anchore, Docker-Bench, Trivy
  • Registry & Artefakte: Sonatype Nexus, Sonarqube, APTLY
  • Orchestrierung & Proxy: Kubernetes, Traefik, Portainer
  • Monitoring & Logging: Grafana, Graylog, Netdata, Logspout
  • Secret-Management: KeyWhiz, HashiCorp Vault, Crypt
  • CI/CD: Jenkins, Gitlab CE + Runner, Selenium
  • IaC & Testing: Terraform, Ansible, Vagrant, OpenVAS

💡 Hinweis: Dies ist eine kompakte Text-Zusammenfassung. Das vollständige PDF mit allen Diagrammen, detaillierten Konfigurationsbeispielen und der kompletten Checkliste findest du unten als Download.


🔧 Mehr DevOps-Wissen

🛠️ 370+ DevOps-Tools im Überblick  |  📦 Docker & Kubernetes Guide  |  📖 Was ist DevOps?

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

zwei × eins =

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.