Asigurarea securității Docker implică mai multe nivele — imagini minime și de încredere, rularea ca non-root, scanarea vulnerabilităților, gestionarea secretelor, limitări de resurse și capabilități, și hardening-ul host-ului/daemon-ului. Securitatea containerului este importantă deoarece vulnerabilitățile pot afecta atât containerul, cât și host-ul.
✓ Use MINIMAL base images (alpine, distroless) → fewer packages = smaller attack surface
✓ Use TRUSTED/official images; pin specific versions/DIGESTS (not "latest")
✓ SCAN images for vulnerabilities (Trivy, docker scout, Snyk) — in CI and regularly
✓ Keep base images UPDATED (patch known CVEs)
✓ Don't include secrets or unnecessary tools in images
✓ Run as NON-ROOT (USER instruction) — a root container that's compromised is far more
dangerous (especially with host access). This is one of the most important practices.
✓ Drop capabilities (--cap-drop ALL, add only needed ones) — limit what the container can do
✓ Read-only filesystem (--read-only) where possible
✓ no-new-privileges (prevent privilege escalation)
✓ Set RESOURCE LIMITS (prevent DoS from resource exhaustion)
✓ NEVER run --privileged unless absolutely necessary (it gives near-host access)
✓ Don't bake secrets into images; use secrets management at runtime
✓ Protect the DOCKER DAEMON — the daemon runs as root; access to it = root on the host
(don't expose the Docker socket; mounting /var/run/docker.sock into a container is risky)
✓ Keep the host and Docker engine PATCHED; use minimal/hardened host OS
✓ Isolate networks; limit container-to-container and container-to-host access
✓ Consider rootless Docker / user namespaces for stronger isolation
Asigurarea securității containerelor Docker este cunoștință importantă la nivel senior deoarece vulnerabilitățile containerelor pot afecta atât containerul, cât și host-ul, ceea ce face securitatea o preocupare multi-stratificată cu consecințe reale. Practicile de securitate a imaginii (imagini de bază minime/de încredere pentru a reduce suprafața de atac, fixarea versiunilor, scanarea pentru vulnerabilități pentru a detecta CVE-uri cunoscute, ținerea imaginilor actualizate) previn expedierea imaginilor exploatabile — o sursă comună de vulnerabilități. Securitatea în timp de execuție este deosebit de critică: rularea ca non-root este una dintre cele mai importante practici deoarece un container compromis cu privilegii root este mult mai periculos (potențial ducând la compromiterea host-ului), iar eliminarea capabilităților, utilizarea sistemelor de fișiere read-only, prevenirea escaladării privilegiilor, și nu se utilizează niciodată --privileged decât dacă este absolut necesar (acordă acces aproape de host) limitează ceea ce poate face un atacator dacă un container este încălcat — apărare în profunzime. Gestionarea secretelor (niciodată nu încorporezi secretele în imagini, folosind secretele în timp de execuție) previne scurgerile de acreditări. Securitatea host-ului și daemon-ului este crucială și adesea ignorată: daemon-ul Docker rulează ca root, deci accesul la acesta (sau la socket-ul Docker) înseamnă efectiv root pe host — ceea ce face protejarea daemon-ului, neexpunerea socket-ului Docker, și ținerea host-ului patch-at esențial, cu Docker rootless și user namespaces oferind izolare mai puternică.
Deoarece containerele partajează kernelul host-ului (deci o scăpare de container sau o compromitere de host are consecințe serioase) și aplicațiile containerizate sunt omniprezente în producție, și deoarece securitatea adecvată (imagini minime/scanate, runtime non-root cu capabilități limitate, gestionarea secretelor, și hardening-ul daemon-ului/host-ului) este ceea ce previne compromiterile reale de container și host, înțelegerea modului de asigurare a securității containerelor Docker este cunoștință importantă la nivel senior — o responsabilitate critică pentru implementările de containere în producție, unde practicile stratificate (în special execuția non-root și protejarea daemon-ului cu privilegii root) abordează riscurile de securitate reale și serioase inerente containerizării.