Docker đã trở thành một công cụ phổ biến trong triển khai ứng dụng nhờ tính linh hoạt và hiệu suất cao. Tuy nhiên, nếu không áp dụng các biện pháp bảo mật phù hợp, hệ thống của bạn có thể trở thành mục tiêu của các cuộc tấn công. Bài viết này sẽ cung cấp 20 thực tiễn bảo mật tốt nhất khi làm việc với Docker để giúp bạn giảm thiểu rủi ro.
1. Sử Dụng Phiên Bản Docker Mới Nhất
- Docker thường xuyên cập nhật các bản vá lỗi và cải tiến bảo mật.
- Kiểm tra và cập nhật phiên bản Docker thường xuyên bằng lệnh:
docker --version
2. Không Chạy Container Với Quyền Root
- Mặc định, các container Docker chạy với quyền root, điều này có thể gây nguy hiểm nếu bị khai thác.
- Sử dụng user namespaces để chạy container với người dùng không có quyền root:
docker run -u 1001 my-container
3. Sử Dụng Docker Content Trust (DCT)
- DCT giúp đảm bảo hình ảnh Docker không bị chỉnh sửa trong quá trình tải xuống.
- Bật DCT bằng lệnh:
export DOCKER_CONTENT_TRUST=1
4. Kiểm Tra Hình Ảnh Docker Trước Khi Sử Dụng
- Không tải hình ảnh từ các nguồn không đáng tin cậy.
- Sử dụng các công cụ quét bảo mật như Trivy để kiểm tra:
trivy image my-image
5. Giới Hạn Khả Năng Ghi Ổ Đĩa Của Container
- Sử dụng cờ
--read-onlyđể hạn chế khả năng ghi của container:docker run --read-only my-container
6. Bật Logging và Giám Sát Container
- Sử dụng Falco hoặc Docker Audit Logs để theo dõi hành vi đáng ngờ.
- Cấu hình logging với syslog:
docker run --log-driver=syslog my-container
7. Không Mở Quá Nhiều Cổng Trong Container
- Chỉ mở các cổng cần thiết khi chạy container.
- Ví dụ, tránh chạy container với tùy chọn
-p 8080:8080nếu không cần thiết.
8. Quét Container Để Phát Hiện Lỗ Hổng
- Sử dụng Clair hoặc Anchore để quét container định kỳ.
9. Hạn Chế Quyền Truy Cập Docker Daemon
- Docker daemon có quyền truy cập cao, cần hạn chế quyền sử dụng.
- Tránh chạy Docker daemon với
--privileged.
10. Sử Dụng Seccomp, AppArmor hoặc SELinux
- Các công cụ này giúp hạn chế quyền truy cập hệ thống của container.
docker run --security-opt seccomp=default.json my-container
11. Giới Hạn CPU và Bộ Nhớ Cho Container
- Tránh tình trạng container sử dụng hết tài nguyên hệ thống.
docker run --memory=512m --cpu-shares=512 my-container
12. Không Lưu Thông Tin Nhạy Cảm Trong Dockerfile
- Tránh lưu trữ mật khẩu hoặc API keys trong Dockerfile.
- Sử dụng biến môi trường thay thế.
13. Sử Dụng Chế Độ Read-Only File System
- Ngăn chặn việc ghi vào hệ thống file của container.
docker run --read-only my-container
14. Xác Minh Hình Ảnh Với Docker Image Signature
- Sử dụng Docker Content Trust để ký và xác minh hình ảnh.
15. Giới Hạn Mạng Cho Container
- Tránh container có quyền truy cập toàn bộ mạng nội bộ.
docker network create --internal my-secure-network
16. Bật Logging Và Audit Docker Events
- Sử dụng
docker eventsđể theo dõi các hoạt động đáng ngờ.docker events --since '1h ago'
17. Xóa Các Container Và Hình Ảnh Không Sử Dụng
- Giảm rủi ro bảo mật bằng cách xóa container và hình ảnh cũ.
docker system prune -a
18. Giới Hạn Số Lượng Quá Trình (Processes) Trong Container
- Ngăn chặn container chiếm dụng tài nguyên quá mức.
docker run --pids-limit 50 my-container
19. Sử Dụng Docker Bench Security Để Kiểm Tra Bảo Mật
- Công cụ này kiểm tra và đánh giá mức độ an toàn của hệ thống Docker.
docker run --net host --pid host --userns host --cap-add audit_control -v /etc:/etc:ro -v /usr/bin/docker:/usr/bin/docker:ro -v /var/lib:/var/lib:ro -v /var/run/docker.sock:/var/run/docker.sock:ro --label docker_bench_security docker/docker-bench-security
20. Triển Khai Rootless Mode Để Giảm Quyền Hạn
- Docker hỗ trợ chế độ rootless để chạy mà không cần quyền root.
dockerd-rootless.sh --experimental
Kết Luận
Áp dụng các thực tiễn bảo mật trên giúp giảm thiểu nguy cơ bảo mật khi sử dụng Docker. Việc tuân thủ các quy tắc này sẽ giúp bảo vệ hệ thống của bạn trước các cuộc tấn công và nâng cao tính an toàn trong môi trường containerized.
