Varovanje Docker-ja vključuje več plasti — minimalne in zaupanja vredne slike, zagon kot ne-root uporabnik, skeniranje ranljivosti, upravljanje skrivnosti, omejitve virov in zmožnosti ter utrjevanje gostitelja/daemona. Varnost kontejnerja je pomembna, ker ranljivosti lahko vplivajo tako na kontejner kot na gostitelja.
✓ Use MINIMAL base images (alpine, distroless) → fewer packages = smaller attack surface
✓ Use TRUSTED/official images; pin specific versions/DIGESTS (not "latest")
✓ SCAN images for vulnerabilities (Trivy, docker scout, Snyk) — in CI and regularly
✓ Keep base images UPDATED (patch known CVEs)
✓ Don't include secrets or unnecessary tools in images
✓ Run as NON-ROOT (USER instruction) — a root container that's compromised is far more
dangerous (especially with host access). This is one of the most important practices.
✓ Drop capabilities (--cap-drop ALL, add only needed ones) — limit what the container can do
✓ Read-only filesystem (--read-only) where possible
✓ no-new-privileges (prevent privilege escalation)
✓ Set RESOURCE LIMITS (prevent DoS from resource exhaustion)
✓ NEVER run --privileged unless absolutely necessary (it gives near-host access)
✓ Don't bake secrets into images; use secrets management at runtime
✓ Protect the DOCKER DAEMON — the daemon runs as root; access to it = root on the host
(don't expose the Docker socket; mounting /var/run/docker.sock into a container is risky)
✓ Keep the host and Docker engine PATCHED; use minimal/hardened host OS
✓ Isolate networks; limit container-to-container and container-to-host access
✓ Consider rootless Docker / user namespaces for stronger isolation
Varovanje Docker kontejnerjev je pomembno znanje na ravni seniorja, ker ranljivosti v kontejnerjih lahko vplivajo tako na kontejner kot na gostitelja, kar naredi varnost večplastno skrb s pravimi posledicami. Prakse varnosti slike (minimalne/zaupanja vredne osnovne slike za zmanjšanje površine napada, pritrjevanje verzij, skeniranje ranljivosti za zaznavanje znanih CVE-jev, posodobljene slike) preprečijo pošiljanje izkoriščljivih slik — pogost vir ranljivosti. Varnost pri pogonu je posebej kritična: zagon kot ne-root je ena najpomembnejših praks, ker je kompromitiran root kontejner veliko bolj nevaren (kar bi lahko vodilo do kompromisa gostitelja), in odvračanje zmožnosti, uporaba samo-brljenih datotek, preprečevanje povišanja privilegijev ter nikoli ne uporabljajte --privileged razen če je res nujno potrebno (daje skoraj dostop do gostitelja) vse omejuje, kaj lahko napadalec naredi, če je kontejner kršen — varnost v globino. Upravljanje skrivnosti (nikoli ne vključujte skrivnosti v slike, uporaba skrivnosti pri pogonu) preprečuje prike poverljivih podatkov. Varnost gostitelja in daemona je ključna in pogosto zanemarjena: Docker daemon se izvaja kot root, zato dostop do njega (ali do Docker vtičnika) v bistvu pomeni root na gostitelju — kar naredi zaščito daemona, neuporabljanje Docker vtičnika in posodobljeno gostitelja bistvenega, pri čemer rootless Docker in uporabniški imeni prostori ponujajo močnejšo izolacijo.
Ker kontejnerji delijo jedrno kodo gostitelja (zato pobeg iz kontejnerja ali kompromis gostitelja ima resne posledice) in aplikacije v kontejnerjih so razširjene v produkciji, in ker ustrezna varnost (minimalne/skenirane slike, non-root izvajanje z omejenimi zmožnostmi, upravljanje skrivnosti, in utrjevanje daemona/gostitelja) je kar preprečuje prave kompromise kontejnerja in gostitelja, je razumevanje kako varovati Docker kontejnerje pomembno znanje na ravni seniorja — kritična odgovornost za produkcijske implementacije kontejnerjev, kjer plasti praks (posebej izvajanje kot ne-root in zaščita root-privilegiranega daemona) naslavljajo prave, resne varnostne tvegane, ki so lastna kontejnerizaciji.