Zabezpečení Docker zahrnuje více vrstev — minimální a důvěryhodné image, spouštění bez root práv, skenování zranitelností, správu tajemství, limity prostředků a schopností a zpevňování hostitele/démona. Bezpečnost kontejneru je důležitá, protože zranitelnosti mohou ovlivnit jak kontejner, tak i hostitele.
✓ Use MINIMAL base images (alpine, distroless) → fewer packages = smaller attack surface
✓ Use TRUSTED/official images; pin specific versions/DIGESTS (not "latest")
✓ SCAN images for vulnerabilities (Trivy, docker scout, Snyk) — in CI and regularly
✓ Keep base images UPDATED (patch known CVEs)
✓ Don't include secrets or unnecessary tools in images
✓ Run as NON-ROOT (USER instruction) — a root container that's compromised is far more
dangerous (especially with host access). This is one of the most important practices.
✓ Drop capabilities (--cap-drop ALL, add only needed ones) — limit what the container can do
✓ Read-only filesystem (--read-only) where possible
✓ no-new-privileges (prevent privilege escalation)
✓ Set RESOURCE LIMITS (prevent DoS from resource exhaustion)
✓ NEVER run --privileged unless absolutely necessary (it gives near-host access)
✓ Don't bake secrets into images; use secrets management at runtime
✓ Protect the DOCKER DAEMON — the daemon runs as root; access to it = root on the host
(don't expose the Docker socket; mounting /var/run/docker.sock into a container is risky)
✓ Keep the host and Docker engine PATCHED; use minimal/hardened host OS
✓ Isolate networks; limit container-to-container and container-to-host access
✓ Consider rootless Docker / user namespaces for stronger isolation
Zabezpečení Docker kontejnerů je důležité znalosti na úrovni seniora, protože zranitelnosti kontejnerů mohou ovlivnit jak kontejner, tak i hostitele, čímž se bezpečnost stává mnohavrstevným problémem se skutečnými důsledky. Postupy bezpečnosti image (minimální/důvěryhodné base image pro snížení povrchu útoku, pinování verzí, skenování zranitelností pro zachycení známých CVE, udržování image aktualizovaných) zabraňují dodání zranitelných image — běžné zdroji zranitelností. Bezpečnost za běhu je obzvlášť kritická: spouštění bez root práv je jedním z nejdůležitějších postupů, protože kompromitovaný root kontejner je mnohem nebezpečnější (potenciálně vede ke kompromitaci hostitele) a odstranění schopností, použití read-only souborových systémů, prevence eskalace oprávnění a nikdy nepoužívat --privileged pokud není absolutně nutné (poskytuje přístup blízký hostiteli) všechny omezují, co může útočník dělat v případě, že je kontejner napaden — obrana do hloubky. Správa tajemství (nikdy nevkládání tajemství do image, použití runtime tajemství) zabraňuje úniku přihlašovacích údajů. Bezpečnost hostitele a démona je zásadní a často opomíjená: Docker démon běží jako root, takže přístup k němu (nebo k Docker socketu) v podstatě znamená root na hostiteli — čímž se ochrana démona, neexponování Docker socketu a udržování patched hostitele stávají zásadní, přičemž rootless Docker a uživatelské jmenné prostory nabízejí silnější izolaci.
Protože kontejnery sdílí jádro hostitele (takže container escape nebo kompromitace hostitele má závažné důsledky) a kontejnerizované aplikace jsou rozšířené v produkčním prostředí, a protože správné zabezpečení (minimální/skenované image, non-root runtime s omezenými schopnostmi, správa tajemství a zpevňování démona/hostitele) je tím, co zabraňuje skutečným kompromitacím kontejnerů a hostitele, je porozumění tomu, jak zabezpečit Docker kontejnery, důležitou znalostí na úrovni seniora — kritická odpovědnost pro produkční nasazení kontejnerů, kde vrstvené postupy (obzvlášť non-root spouštění a ochrana kořenového privilegovaného démona) řeší skutečná, vážná bezpečnostní rizika vlastní kontejnerizaci.