Docker container를 어떻게 보안합니까?

Question

Accepted Answer

Docker를 보안하는 것은 여러 계층을 수반합니다 — **최소한이고 신뢰할 수 있는 image**, **비루트로 실행**, **취약점 스캔**, **secret 관리**, **리소스 및 capability 제한**, **호스트/데몬 강화**. 컨테이너 보안은 취약점이 container와 호스트 모두에 영향을 미칠 수 있기 때문에 중요합니다.

## image 보안

```text
✓ 최소한의 base image 사용(alpine, distroless) → 더 적은 패키지 = 더 작은 공격 표면
✓ 신뢰할 수 있는/공식 image 사용; 특정 버전/DIGEST 고정("latest" 아님)
✓ image의 취약점 스캔(Trivy, docker scout, Snyk) — CI에서 그리고 정기적으로
✓ base image를 최신으로 유지(알려진 CVE 패치)
✓ image에 secret이나 불필요한 도구를 포함하지 않음
```

## 런타임 보안

```text
✓ 비루트로 실행(USER 명령) — 침해된 root container는 훨씬 더
  위험함(특히 호스트 접근 시). 이것은 가장 중요한 관행 중 하나임.
✓ capability 제거(--cap-drop ALL, 필요한 것만 추가) — container가 할 수 있는 것을 제한
✓ 가능한 곳에서 읽기 전용 파일시스템(--read-only)
✓ no-new-privileges(권한 상승 방지)
✓ 리소스 제한 설정(리소스 고갈로 인한 DoS 방지)
✓ 절대적으로 필요하지 않은 한 --privileged를 절대 실행하지 말 것(거의 호스트 접근을 부여함)
```

## secret과 호스트 보안

```text
✓ image에 secret을 굽지 않음; 런타임에 secret 관리 사용
✓ DOCKER 데몬 보호 — 데몬은 root로 실행됨; 그에 대한 접근 = 호스트의 root
  (Docker 소켓을 노출하지 않음; /var/run/docker.sock을 container에 마운트하는 것은 위험)
✓ 호스트와 Docker 엔진을 패치된 상태로 유지; 최소한의/강화된 호스트 OS 사용
✓ 네트워크 격리; container 간 및 container-호스트 접근 제한
✓ 더 강한 격리를 위해 rootless Docker / 사용자 네임스페이스 고려
```

## 왜 중요한가

Docker container를 보안하는 것은 중요한 시니어 수준 지식입니다. 컨테이너 취약점이 container와 **호스트** 모두에 영향을 미칠 수 있어 보안을 실제 결과를 가진 다계층 관심사로 만들기 때문입니다. **image 보안** 관행(공격 표면을 줄이기 위한 최소한의/신뢰할 수 있는 base image, 버전 고정, 알려진 CVE를 잡기 위한 **취약점 스캔**, image 최신 유지)은 악용 가능한 image를 출하하는 것을 방지합니다 — 흔한 취약점의 원천입니다. **런타임 보안**은 특히 중요합니다. **비루트로 실행**은 가장 중요한 관행 중 하나입니다. 침해된 root container는 훨씬 더 위험하기 때문입니다(잠재적으로 호스트 침해로 이어짐). 그리고 **capability 제거**, 읽기 전용 파일시스템 사용, 권한 상승 방지, 그리고 절대적으로 필요하지 않은 한 **`--privileged`를 절대 사용하지 않기**(거의 호스트 접근을 부여함)는 모두 container가 침해될 경우 공격자가 할 수 있는 것을 제한합니다 — 심층 방어. **secret 관리**(image에 secret을 절대 굽지 않기, 런타임 secret 사용)는 자격 증명 누출을 방지합니다. **호스트와 데몬 보안**은 중요하지만 종종 간과됩니다. **Docker 데몬은 root로 실행**되므로, 그것(또는 Docker 소켓)에 대한 접근은 사실상 **호스트의 root**를 의미합니다 — 데몬을 보호하고, Docker 소켓을 노출하지 않고, 호스트를 패치된 상태로 유지하는 것을 필수적으로 만들며, rootless Docker와 사용자 네임스페이스가 더 강한 격리를 제공합니다.

container는 호스트 커널을 공유하고(그래서 container 탈출이나 호스트 침해가 심각한 결과를 가짐) 컨테이너화된 애플리케이션이 프로덕션에 광범위하게 존재하며, 적절한 보안(최소한의/스캔된 image, 제한된 capability를 가진 비루트 런타임, secret 관리, 데몬/호스트 강화)이 실제 container 및 호스트 침해를 방지하는 것이므로, Docker container를 보안하는 방법을 이해하는 것은 중요한 시니어 수준 지식입니다 — 프로덕션 container 배포에 핵심 책임이며, 계층화된 관행(특히 비루트 실행과 root 권한 데몬 보호)이 컨테이너화에 내재된 진정하고 심각한 보안 위험을 다룹니다.