Beveiligde Docker-images maken

Introductie tot Docker

Tim Sangster

Software Engineer @ DataCamp

Inherente beveiliging

Een gecompromitteerde container kan de host bereiken als hij uit de virtualisatielaag breekt.

Veilige images maken

Aanvallers kunnen in uitzonderlijke gevallen uit een container breken.

Extra beveiligingsmaatregelen verlagen dit risico

Wordt extra belangrijk zodra je containers aan internet blootstelt.

Images uit een vertrouwde bron

Veilige images -> Begin met een image uit een vertrouwde bron

Docker Hub-filters:

Docker Hub heeft drie Trusted Content-filters: Docker Official Images, Verified Publisher en Sponsored OSS

Houd software up-to-date

Zelfs de zeer populaire Ubuntu-image is pas 14 dagen geleden bijgewerkt. De ook zeer populaire mariaDB-image is meer dan een maand geleden bijgewerkt.

Houd images minimaal

Onnodige pakketten verminderen veiligheid

Ubuntu met:

Python2.7
Python3.11
Java default-jre
Java openjdk-11
Java openjdk-8
Airflow
Onze pipeline-app

Alleen essentiële pakketten installeren verhoogt veiligheid

Ubuntu met:

Python3.11
Onze pipeline-app

Draai apps niet als root

Root-toegang tot een image ondermijnt actueel en minimaal houden.

Laat containers in plaats daarvan starten als een gebruiker met minder rechten:

FROM ubuntu # Standaard is de gebruiker root.
RUN apt-get update
RUN apt-get install python3
USER repl # Schakel gebruiker na installatie van wat we nodig hebben.
CMD python3 pipeline.py

Laten we oefenen!

Introductie tot Docker