كيف تؤمّن حاويات Docker؟

Question

Accepted Answer

تأمين Docker يتضمن عدة طبقات — **صور بسيطة وموثوقة**، **التشغيل بدون صلاحيات جذر**، **فحص الثغرات الأمنية**، **إدارة الأسرار**، **حدود الموارد والقدرات**، و**تصليب المضيف والخادم**. أمان الحاوية مهم لأن الثغرات الأمنية يمكن أن تؤثر على الحاوية والمضيف معاً.

## أمان الصور

```text
✓ Use MINIMAL base images (alpine, distroless) → fewer packages = smaller attack surface
✓ Use TRUSTED/official images; pin specific versions/DIGESTS (not "latest")
✓ SCAN images for vulnerabilities (Trivy, docker scout, Snyk) — in CI and regularly
✓ Keep base images UPDATED (patch known CVEs)
✓ Don't include secrets or unnecessary tools in images
```

## أمان وقت التشغيل

```text
✓ Run as NON-ROOT (USER instruction) — a root container that's compromised is far more
  dangerous (especially with host access). This is one of the most important practices.
✓ Drop capabilities (--cap-drop ALL, add only needed ones) — limit what the container can do
✓ Read-only filesystem (--read-only) where possible
✓ no-new-privileges (prevent privilege escalation)
✓ Set RESOURCE LIMITS (prevent DoS from resource exhaustion)
✓ NEVER run --privileged unless absolutely necessary (it gives near-host access)
```

## الأسرار وأمان المضيف

```text
✓ Don't bake secrets into images; use secrets management at runtime
✓ Protect the DOCKER DAEMON — the daemon runs as root; access to it = root on the host
  (don't expose the Docker socket; mounting /var/run/docker.sock into a container is risky)
✓ Keep the host and Docker engine PATCHED; use minimal/hardened host OS
✓ Isolate networks; limit container-to-container and container-to-host access
✓ Consider rootless Docker / user namespaces for stronger isolation
```

## لماذا هذا مهم

تأمين حاويات Docker هو معرفة مهمة على مستوى الموظف الرئيسي لأن ثغرات الحاويات يمكن أن تؤثر على الحاوية و**المضيف** معاً، مما يجعل الأمان مصدر قلق متعدد الطبقات ذا عواقب حقيقية. **ممارسات أمان الصور** (صور أساسية بسيطة وموثوقة لتقليل سطح الهجوم، تثبيت الإصدارات، **فحص الثغرات** للكشف عن CVEs المعروفة، إبقاء الصور محدّثة) تمنع شحن صور قابلة للاستغلال — مصدر شائع للثغرات. **أمان وقت التشغيل** حرج بشكل خاص: **التشغيل بدون صلاحيات جذر** هي واحدة من أهم الممارسات لأن حاوية جذر معرضة للخطر تكون أكثر خطورة بكثير (قد تؤدي إلى اختراق المضيف)، و**إسقاط القدرات**، استخدام أنظمة ملفات للقراءة فقط، منع تصعيد الامتيازات، و**عدم استخدام `--privileged` أبداً** إلا إذا كان ضرورياً تماماً (فهو يمنح وصول قريب من المضيف) كل ذلك يحد من ما يستطيع المهاجم فعله إذا تم اختراق حاوية — الدفاع المتعمق. **إدارة الأسرار** (عدم بناء الأسرار في الصور، استخدام الأسرار في وقت التشغيل) تمنع تسريب بيانات الاعتماد. **أمان المضيف والخادم** حرج وغالباً ما يتم تجاهله: **خادم Docker يعمل بصلاحيات جذر**، لذا الوصول إليه (أو مأخذ Docker) يعني بشكل فعّال **جذر على المضيف** — مما يجعل حماية الخادم، عدم تعريض مأخذ Docker، وإبقاء المضيف معدل أساسياً، مع Docker بدون جذر والأسماء النطاقية للمستخدم توفر عزل أقوى.

نظراً لأن الحاويات تشارك نواة المضيف (بحيث أن خروج الحاوية أو اختراق المضيف له عواقب خطيرة) والتطبيقات المحتواة منتشرة في الإنتاج، وحيث أن الأمان الصحيح (صور بسيطة وممسوحة، بدون صلاحيات جذر في وقت التشغيل مع قدرات محدودة، إدارة الأسرار، وتصليب الخادم والمضيف) هو ما يمنع اختراقات الحاويات والمضيف الفعلية، فإن فهم كيفية تأمين حاويات Docker هو معرفة مهمة على مستوى الموظف الرئيسي — مسؤولية حرجة في نشر الحاويات الإنتاجي، حيث الممارسات المتعمقة (خاصة التشغيل بدون صلاحيات جذر وحماية الخادم ذو الامتيازات الجذر) تعالج مخاطر أمان حقيقية وخطيرة متأصلة في العزل بالحاويات.