- Docker & Host aktuell halten: Regelmässige Updates für Docker und Host-System (Sicherheit, Patches).
- Docker-Daemon-Socket vermeiden: Nicht öffentlich zugänglich machen (Sicherheitsrisiko), sichere Alternativen nutzen.
- Benutzer festlegen & Berechtigungen begrenzen: Container als Nicht-Root-Benutzer betreiben, unnötige Linux-Fähigkeiten entfernen.
- Eskalation von Rechten verhindern: Massnahmen gegen Privilegieneskalation im Container (z.B.
seccomp, AppArmor).
- Inter-Container-Konnektivität konfigurieren: Gezielte Netzwerkregeln für Kommunikation, nicht pauschal deaktivieren.
- Linux Security Modules (LSMs) nutzen: AppArmor/SELinux für erweiterte Zugriffskontrolle einsetzen.
- Ressourcenbeschränkungen auferlegen: CPU, RAM usw. limitieren, um DoS-Angriffe zu verhindern.
- Dateisysteme/Volumes schreibgeschützt: Wenn möglich, Container-Speicher als Read-Only konfigurieren.
- Container-Scanning in CI/CD: Automatisierte Schwachstellenprüfung von Images in der Pipeline.
- Angemessene Protokollierung: Detaillierte Logs für Überwachung und Fehlerbehebung.
- Docker im Rootless-Modus: Daemon als Nicht-Root-Benutzer ausführen (erhöhte Sicherheit).
- Docker Secrets für sensible Daten: Vertrauliche Infos nicht direkt in Images/Umgebungsvariablen speichern.
- Supply Chain Security verbessern: Authentizität und Integrität aller Komponenten prüfen.
- Podman als Alternative: Daemon-lose Container-Engine in Betracht ziehen.