Securing Docker Containers: Ein umfassender Leitfaden zur robusten Containerisierung

Einführung

Container teilen den Host-Kernel – Fehlkonfigurationen ermöglichen Angriffe wie Privilege Escalation oder Datenlecks. Dieser Leitfaden strukturiert Docker-Sicherheit in vier Kernbereiche: Image-Integrität, Runtime-Härtung, Netzwerkisolation und Monitoring.

Docker-Sicherheitsrisiken verstehen

Typische Schwachstellen in Containerumgebungen:

Häufige Angriffsvektoren

Rechteausweitung: Root-Zugriff auf den Host durch fehlkonfigurierte Container
Veraltete Images: Ungesicherte Abhängigkeiten in Basis-Images
Offene Ports: Unautorisiert exponierte Dienste
Geheimnislecks: Hardcodierte Credentials in Images

Analyse-Tools

Trivy: Vulnerability-Scanner für Images
Docker Bench: CIS-Benchmark-Checks
Falco: Echtzeit-Monitoring für Anomalien

bash

# Image-Scan mit Trivy
trivy image mein-app:latest

Sicherheitstipp: Automatisierte Scans in CI/CD-Pipelines integrieren.

Container-Images absichern

Sichere Images sind die Grundlage jeder Container-Security-Strategie.

Best Practices

Minimale Basis-Images
- Verwenden Sie schlanke Images wie Alpine oder Distroless:
dockerfile
```
FROM alpine:3.18
```

Multi-Stage-Builds

Trennen Sie Build- und Runtime-Umgebungen:

dockerfile

FROM node:20 AS builder
COPY . .
RUN npm install && npm run build

FROM nginx:alpine  
COPY --from=builder /app/dist /usr/share/nginx/html

Images scannen & signieren

Integrieren Sie Vulnerability-Scans in CI/CD
Digitale Signatur mit Cosign:

bash

# Schlüsselpaar generieren
cosign generate-key-pair

# Image signieren
cosign sign --key cosign.key mein-app:v1.2.0

# Signatur verifizieren
cosign verify --key cosign.pub mein-app:v1.2.0

Runtime-Konfiguration härten

Sichere Images allein genügen nicht – die Laufzeitumgebung muss geschützt werden.

Schlüsselmaßnahmen

Non-Root-Betrieb

dockerfile

USER 1001  # Im Dockerfile

bash

docker run --user 1001 mein-app  # Zur Laufzeit

Ressourcenlimitierung

bash

docker run --cpus 2 --memory 512m --pids-limit 100 mein-app

Read-Only-Dateisystem

bash

docker run --read-only --tmpfs /tmp mein-app

Capabilities entfernen

bash

docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE nginx

Achtung: Entfernen Sie gefährliche Capabilities wie SYS_ADMIN und NET_RAW.

Netzwerksicherheit & Isolation

Docker-Netzwerke standardmäßig oft zu permissiv konfiguriert.

Sicherheitsmaßnahmen

Custom Bridge Networks

bash

docker network create --driver bridge secure-frontend
docker run --network secure-frontend react-app

Port-Exposition minimieren

dockerfile

EXPOSE 443/tcp  # Nur notwendige Ports freigeben

TLS-Verschlüsselung
- Mutual TLS (mTLS) mit Service Meshes wie Istio

Lateral Movement blockieren

bash

dockerd --icc=false  # Inter-Container-Kommunikation deaktivieren

Host-Sicherheit

Ein kompromittierter Host gefährdet alle Container.

Schutzmaßnahmen

SELinux/AppArmor aktivieren

bash

apparmor_parser -r /etc/apparmor.d/docker-restricted

Docker Daemon absichern

bash

chmod 660 /var/run/docker.sock && chown root:docker /var/run/docker.sock

Rootless Docker (experimentell)
bash
```
dockerd-rootless-setuptool.sh install
```

Geheimnisverwaltung

Nie Credentials in Images oder Umgebungsvariablen speichern!

Lösungen

Docker Secrets (Swarm Mode)

bash

echo "db_pass" | docker secret create db_pass -

HashiCorp Vault Integration

bash

docker run --env VAULT_TOKEN=s.xyz mein-app

Monitoring & Incident Response

Tools

Falco für Anomalieerkennung
bash
```
falco -r /etc/falco/falco_rules.yaml
```

Zentralisiertes Logging

bash

dockerd --log-driver=journald  # Systemd-Journal Integration

Regelmäßige Audits

bash

./docker-bench-security.sh  # CIS-Checks automatisieren

Fortgeschrittene Strategien

1. Sandboxing mit gVisor

bash

docker run --runtime=runsc nginx  # Extra Sicherheitsschicht

2. Zero-Trust-Networking

Service Meshes wie Linkerd für mTLS

3. Immutable Infrastructure

Container bei Änderungen neu bauen statt live patchen

Fazit

Docker-Sicherheit ist ein kontinuierlicher Prozess. Durch minimalistische Images, Runtime-Härtung und automatisiertes Monitoring reduzieren Sie Angriffsflächen signifikant. Kombinieren Sie diese Maßnahmen mit Tools wie Falco und Vault für Enterprise-Level-Sicherheit.

Rechteausweitung: Root-Zugriff auf den Host durch fehlkonfigurierte Container
Veraltete Images: Ungesicherte Abhängigkeiten in Basis-Images
Offene Ports: Unautorisiert exponierte Dienste
Geheimnislecks: Hardcodierte Credentials in Images

Analyse-Tools

Trivy: Vulnerability-Scanner für Images
Docker Bench: CIS-Benchmark-Checks
Falco: Echtzeit-Monitoring für Anomalien

bash

# Image-Scan mit Trivy
trivy image mein-app:latest

Sicherheitstipp: Automatisierte Scans in CI/CD-Pipelines integrieren.

Container-Images absichern

Sichere Images sind die Grundlage jeder Container-Security-Strategie.

Best Practices

Minimale Basis-Images
- Verwenden Sie schlanke Images wie Alpine oder Distroless:
dockerfile
```
FROM alpine:3.18
```

Multi-Stage-Builds

Trennen Sie Build- und Runtime-Umgebungen:

dockerfile

FROM node:20 AS builder
COPY . .
RUN npm install && npm run build

FROM nginx:alpine  
COPY --from=builder /app/dist /usr/share/nginx/html

Images scannen & signieren

Integrieren Sie Vulnerability-Scans in CI/CD
Digitale Signatur mit Cosign:

bash

# Schlüsselpaar generieren
cosign generate-key-pair

# Image signieren
cosign sign --key cosign.key mein-app:v1.2.0

# Signatur verifizieren
cosign verify --key cosign.pub mein-app:v1.2.0

Runtime-Konfiguration härten

Sichere Images allein genügen nicht – die Laufzeitumgebung muss geschützt werden.

Schlüsselmaßnahmen

Non-Root-Betrieb

dockerfile

USER 1001  # Im Dockerfile

bash

docker run --user 1001 mein-app  # Zur Laufzeit

Ressourcenlimitierung

bash

docker run --cpus 2 --memory 512m --pids-limit 100 mein-app

Read-Only-Dateisystem

bash

docker run --read-only --tmpfs /tmp mein-app

Capabilities entfernen

bash

docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE nginx

Achtung: Entfernen Sie gefährliche Capabilities wie SYS_ADMIN und NET_RAW.

Netzwerksicherheit & Isolation

Docker-Netzwerke standardmäßig oft zu permissiv konfiguriert.

Sicherheitsmaßnahmen

Custom Bridge Networks

bash

docker network create --driver bridge secure-frontend
docker run --network secure-frontend react-app

Port-Exposition minimieren

dockerfile

EXPOSE 443/tcp  # Nur notwendige Ports freigeben

TLS-Verschlüsselung
- Mutual TLS (mTLS) mit Service Meshes wie Istio

Lateral Movement blockieren

bash

dockerd --icc=false  # Inter-Container-Kommunikation deaktivieren

Host-Sicherheit

Ein kompromittierter Host gefährdet alle Container.

Schutzmaßnahmen

SELinux/AppArmor aktivieren

bash

apparmor_parser -r /etc/apparmor.d/docker-restricted

Docker Daemon absichern

bash

chmod 660 /var/run/docker.sock && chown root:docker /var/run/docker.sock

Rootless Docker (experimentell)
bash
```
dockerd-rootless-setuptool.sh install
```

Geheimnisverwaltung

Nie Credentials in Images oder Umgebungsvariablen speichern!

Lösungen

Docker Secrets (Swarm Mode)

bash

echo "db_pass" | docker secret create db_pass -

HashiCorp Vault Integration

bash

docker run --env VAULT_TOKEN=s.xyz mein-app

Monitoring & Incident Response

Tools

Falco für Anomalieerkennung
bash
```
falco -r /etc/falco/falco_rules.yaml
```

Zentralisiertes Logging

bash

dockerd --log-driver=journald  # Systemd-Journal Integration

Regelmäßige Audits

bash

./docker-bench-security.sh  # CIS-Checks automatisieren

Fortgeschrittene Strategien

1. Sandboxing mit gVisor

bash

docker run --runtime=runsc nginx  # Extra Sicherheitsschicht

2. Zero-Trust-Networking

Service Meshes wie Linkerd für mTLS

3. Immutable Infrastructure

Container bei Änderungen neu bauen statt live patchen