Bảo mật Docker liên quan đến nhiều lớp — image tối thiểu và đáng tin cậy, chạy với người dùng không phải root, quét lỗ hổng, quản lý secret, giới hạn tài nguyên và capability, và làm cứng host/daemon. Bảo mật container là quan trọng vì các lỗ hổng có thể ảnh hưởng đến cả container và host.
✓ Dùng các base image TỐI THIỂU (alpine, distroless) → ít gói hơn = bề mặt tấn công nhỏ hơn
✓ Dùng các image ĐÁNG TIN CẬY/chính thức; ghim các phiên bản/DIGEST cụ thể (không "latest")
✓ QUÉT image tìm lỗ hổng (Trivy, docker scout, Snyk) — trong CI và thường xuyên
✓ Giữ các base image ĐƯỢC CẬP NHẬT (vá các CVE đã biết)
✓ Đừng bao gồm secret hoặc các công cụ không cần thiết trong image
✓ Chạy với người dùng KHÔNG PHẢI ROOT (lệnh USER) — một container root bị xâm phạm thì nguy
hiểm hơn nhiều (đặc biệt với quyền truy cập host). Đây là một trong các thực hành quan trọng nhất.
✓ Bỏ các capability (--cap-drop ALL, chỉ thêm những cái cần) — giới hạn cái container có thể làm
✓ Hệ thống tệp chỉ đọc (--read-only) khi có thể
✓ no-new-privileges (ngăn leo thang đặc quyền)
✓ Đặt GIỚI HẠN TÀI NGUYÊN (ngăn DoS từ cạn kiệt tài nguyên)
✓ KHÔNG BAO GIỜ chạy --privileged trừ khi thực sự cần thiết (nó cho quyền gần như host)
✓ Đừng nhúng secret vào image; dùng quản lý secret tại runtime
✓ Bảo vệ DOCKER DAEMON — daemon chạy với quyền root; truy cập vào nó = root trên host
(đừng phơi bày Docker socket; mount /var/run/docker.sock vào một container là rủi ro)
✓ Giữ host và Docker engine ĐƯỢC VÁ; dùng host OS tối thiểu/đã làm cứng
✓ Cô lập các network; giới hạn truy cập container-tới-container và container-tới-host
✓ Cân nhắc rootless Docker / user namespace để cô lập mạnh hơn
Bảo mật các container Docker là kiến thức cấp senior quan trọng vì các lỗ hổng container có thể ảnh hưởng đến cả container và host, làm cho bảo mật là một mối quan tâm đa lớp với các hậu quả thực sự.
Các thực hành bảo mật image (base image tối thiểu/đáng tin cậy để giảm bề mặt tấn công, ghim các phiên bản, quét tìm lỗ hổng để bắt các CVE đã biết, giữ các image được cập nhật) ngăn ngừa việc vận chuyển các image có thể bị khai thác — một nguồn lỗ hổng phổ biến. Bảo mật runtime đặc biệt quan trọng: chạy với người dùng không phải root là một trong các thực hành quan trọng nhất vì một container root bị xâm phạm thì nguy hiểm hơn nhiều (có khả năng dẫn đến xâm phạm host), và bỏ các capability, dùng các hệ thống tệp chỉ đọc, ngăn leo thang đặc quyền, và không bao giờ dùng --privileged trừ khi thực sự cần thiết (nó cấp quyền gần như host) đều giới hạn cái mà một kẻ tấn công có thể làm nếu một container bị xâm nhập — phòng thủ theo chiều sâu. Quản lý secret (không bao giờ nhúng secret vào image, dùng secret tại runtime) ngăn ngừa rò rỉ thông tin xác thực. Bảo mật host và daemon là quan trọng và thường bị bỏ qua: Docker daemon chạy với quyền root, nên truy cập vào nó (hoặc Docker socket) thực chất nghĩa là root trên host — làm cho việc bảo vệ daemon, không phơi bày Docker socket, và giữ host được vá là thiết yếu, với rootless Docker và user namespace cung cấp cô lập mạnh hơn.
Vì các container chia sẻ kernel của host (nên một container escape hoặc xâm phạm host có các hậu quả nghiêm trọng) và các ứng dụng container hóa phổ biến trong production, và vì bảo mật đúng cách (image tối thiểu/được quét, runtime không phải root với các capability giới hạn, quản lý secret, và làm cứng daemon/host) là điều ngăn ngừa các xâm phạm container và host thực sự, hiểu cách bảo mật các container Docker là kiến thức cấp senior quan trọng — một trách nhiệm quan trọng cho các triển khai container production, nơi các thực hành theo lớp (đặc biệt là thực thi không phải root và bảo vệ daemon có đặc quyền root) giải quyết các rủi ro bảo mật thực sự, nghiêm trọng vốn có của containerization.