📋 Inhalt dieser Zusammenfassung
Dieses Dokument bietet eine praxisorientierte Übersicht zur Absicherung von Docker-Containern — von der Bedrohungsanalyse über konkrete Verteidigungsstrategien bis hin zu einer detaillierten Security-Checkliste mit über 100 Prüfpunkten.
🛡️ Bedrohungen im Überblick
- Kernel Exploits: Durch den gemeinsam genutzten Kernel können Fehler container-übergreifend ausgenutzt werden.
- Denial-of-Service (DoS): Ein einzelner Container kann alle Ressourcen (RAM, CPU, UIDs) beanspruchen.
- Container-Breakouts: Ohne User-Namespaces erhalten ausgebrochene Prozesse Host-Rechte.
- Vergiftete Images: Nicht verifizierte Images können Schadsoftware enthalten.
- Verratene Geheimnisse: Passwörter und API-Keys in Images oder Umgebungsvariablen sind unsicher.
🔐 Verteidigungsstrategien
- Least Privilege: Container nicht als root ausführen, Dateisysteme read-only mounten, Kernel-Capabilities einschränken.
- Ressourcenbeschränkung: RAM, CPU und Neustarts per –memory, –cpu-shares und –ulimit begrenzen.
- User Namespaces (userns-remap): Container-root auf unprivilegierte Host-UIDs abbilden.
- Seccomp & AppArmor/SELinux: Systemaufrufe filtern und Mandatory Access Control erzwingen.
- Verschlüsselte Kommunikation: TLS für Registry-Zugriffe, interne und externe Kommunikation.
- Auditing: Alle Docker-relevanten Dateien und Verzeichnisse mit auditd überwachen.
✅ Security-Checkliste (105+ Punkte)
Das Dokument enthält eine vollständige Checkliste, strukturiert in sechs Bereiche:
- General Configuration — Host-Härtung, Docker-Version aktuell halten
- Linux Hosts Specific Configuration — Swap-Limits, separate Partition für /var/lib/docker, trusted users, auditd-Regeln
- Docker Daemon Configuration — ICC deaktivieren, Log-Level „info“, kein aufs-Treiber, TLS-Auth, userns-remap, cgroups
- Docker Daemon Configuration Files — Berechtigungen für docker.service, docker.socket, Zertifikatsdateien
- Container Images and Build File — USER-Direktive, HEALTHCHECK, Content-Trust, Image-Scanning, keine unnötigen Pakete
- Container Runtime & Security Operations — Capabilities droppen, privileged-Container vermeiden, Root-FS read-only, keine docker.sock mounten, Swarm-Mode absichern
🔧 Empfohlene Tool-Chain
Für den produktiven Einsatz werden folgende Werkzeuge empfohlen:
- Image-Scanning: Clair, Falco, Anchore, Docker-Bench, Trivy
- Registry & Artefakte: Sonatype Nexus, Sonarqube, APTLY
- Orchestrierung & Proxy: Kubernetes, Traefik, Portainer
- Monitoring & Logging: Grafana, Graylog, Netdata, Logspout
- Secret-Management: KeyWhiz, HashiCorp Vault, Crypt
- CI/CD: Jenkins, Gitlab CE + Runner, Selenium
- IaC & Testing: Terraform, Ansible, Vagrant, OpenVAS
💡 Hinweis: Dies ist eine kompakte Text-Zusammenfassung. Das vollständige PDF mit allen Diagrammen, detaillierten Konfigurationsbeispielen und der kompletten Checkliste findest du unten als Download.