La sécurisation de Docker implique plusieurs couches — images minimales et de confiance, exécution en tant que non-root, scan de vulnérabilités, gestion des secrets, limites de ressources et de capacités, et renforcement de l'hôte/du daemon. La sécurité des conteneurs est importante car les vulnérabilités peuvent affecter à la fois le conteneur et l'hôte.
✓ Use MINIMAL base images (alpine, distroless) → fewer packages = smaller attack surface
✓ Use TRUSTED/official images; pin specific versions/DIGESTS (not "latest")
✓ SCAN images for vulnerabilities (Trivy, docker scout, Snyk) — in CI and regularly
✓ Keep base images UPDATED (patch known CVEs)
✓ Don't include secrets or unnecessary tools in images
✓ Run as NON-ROOT (USER instruction) — a root container that's compromised is far more
dangerous (especially with host access). This is one of the most important practices.
✓ Drop capabilities (--cap-drop ALL, add only needed ones) — limit what the container can do
✓ Read-only filesystem (--read-only) where possible
✓ no-new-privileges (prevent privilege escalation)
✓ Set RESOURCE LIMITS (prevent DoS from resource exhaustion)
✓ NEVER run --privileged unless absolutely necessary (it gives near-host access)
✓ Don't bake secrets into images; use secrets management at runtime
✓ Protect the DOCKER DAEMON — the daemon runs as root; access to it = root on the host
(don't expose the Docker socket; mounting /var/run/docker.sock into a container is risky)
✓ Keep the host and Docker engine PATCHED; use minimal/hardened host OS
✓ Isolate networks; limit container-to-container and container-to-host access
✓ Consider rootless Docker / user namespaces for stronger isolation
La sécurisation des conteneurs Docker est une connaissance importante au niveau senior car les vulnérabilités des conteneurs peuvent affecter à la fois le conteneur et l'hôte, ce qui en fait une préoccupation multi-couches avec des conséquences réelles. Les pratiques de sécurité des images (images de base minimales/de confiance pour réduire la surface d'attaque, épinglage des versions, scan des vulnérabilités pour détecter les CVE connus, maintien des images à jour) préviennent le déploiement d'images exploitables — une source courante de vulnérabilités. La sécurité à l'exécution est particulièrement critique : l'exécution en tant que non-root est l'une des pratiques les plus importantes car un conteneur root compromis est bien plus dangereux (pouvant mener à une compromission de l'hôte), et le retrait des capacités, l'utilisation de systèmes de fichiers en lecture seule, la prévention de l'escalade de privilèges, et ne jamais utiliser --privileged sauf si absolument nécessaire (cela accorde un accès quasi-hôte) limitent tous ce qu'un attaquant peut faire si un conteneur est compromis — défense en profondeur. La gestion des secrets (ne jamais intégrer les secrets dans les images, utiliser les secrets à l'exécution) prévient les fuites d'identifiants. La sécurité de l'hôte et du daemon est cruciale et souvent négligée : le daemon Docker s'exécute en tant que root, donc l'accès à celui-ci (ou au socket Docker) signifie effectivement root sur l'hôte — rendant la protection du daemon, l'absence d'exposition du socket Docker, et la maintenance de l'hôte essentielles, avec Docker rootless et les espaces de noms utilisateur offrant une isolation plus forte.
Comme les conteneurs partagent le noyau de l'hôte (donc une échappatoire de conteneur ou une compromission de l'hôte a des conséquences graves) et les applications conteneurisées sont omniprésentes en production, et puisque la sécurité appropriée (images minimales/scannées, exécution non-root avec capacités limitées, gestion des secrets, et renforcement du daemon/hôte) est ce qui prévient les compromissions réelles de conteneur et d'hôte, comprendre comment sécuriser les conteneurs Docker est une connaissance importante au niveau senior — une responsabilité critique pour les déploiements de conteneurs en production, où les pratiques en couches (en particulier l'exécution non-root et la protection du daemon privilégié root) abordent les risques de sécurité véritables et graves inhérents à la conteneurisation.
Une bibliothèque de questions d'entretien IT avec des réponses détaillées — du Junior au Senior.
Faire un don