Docker 镜像安全最佳实践
Docker 和 宿主机 的设置
- 保证宿主机和 Docker 的版本是最新的
- 不要暴露 Docker 的 守护进程(daemon) 的套接字
- 使用 rootless 模式启动 Docker
- 避免使用特权容器
- 限制容器资源
- 隔离容器网络
- 提高容器的隔离度
- 将文件系统和卷设置为只读
- 完整的生命周期管理
- 限制来自容器内的系统调用
确保镜像安全
- 扫描和验证容器镜像
- 使用最小基础镜像
- 不要向 Docker 镜像泄露敏感信息
- 使用多阶段构建
- 确保容器注册
- 使用固定标签以获得不变性
监控容器
- 监控容器活动
- 确保容器在运行时的安全
- 将故障排除数据与容器分开保存
- 为镜像使用元数据标签
