Introducción

Los contenedores comparten el kernel del host: configuraciones incorrectas pueden permitir ataques como escalada de privilegios o fugas de datos. Esta guía organiza la seguridad en cuatro áreas clave: integridad de imágenes, endurecimiento del entorno, aislamiento de red y monitoreo.

Entendiendo los riesgos de seguridad en Docker

Vulnerabilidades comunes en entornos con contenedores:

Vectores de ataque principales

1. Escalada de privilegios: Acceso root al host mediante contenedores mal configurados
2. Imágenes desactualizadas: Dependencias inseguras en imágenes base
3. Puertos expuestos: Servicios accesibles sin autorización
4. Filtración de secretos: Credenciales codificadas en imágenes

Herramientas de análisis

• Trivy: Escáner de vulnerabilidades para imágenes
• Docker Bench: Verificación contra estándares CIS
• Falco: Detección de anomalías en tiempo real

# Escaneo de imagen con Trivy
trivy image mi-app:latest

Consejo clave: Integra escaneos automatizados en tus pipelines CI/CD.

Asegurando imágenes de contenedores

Las imágenes seguras son la base de cualquier estrategia de seguridad.

Mejores prácticas

1. Imágenes base mínimas

   • Usa imágenes ligeras como Alpine o Distroless:
   dockerfile

   FROM alpine:3.18
   

2. Construcción en múltiples etapas

   • Separa entornos de compilación y ejecución:
   dockerfile

   FROM node:20 AS builder
   COPY . .
   RUN npm install && npm run build
   
   FROM nginx:alpine  
   COPY --from=builder /app/dist /usr/share/nginx/html
   

3. Escanear y firmar imágenes

   • Integra escaneos en CI/CD
   • Firma digital con Cosign:
   bash

   # Generar par de claves
   cosign generate-key-pair
   
   # Firmar imagen
   cosign sign --key cosign.key mi-app:v1.2.0
   
   # Verificar firma
   cosign verify --key cosign.pub mi-app:v1.2.0
   

Endureciendo la configuración en tiempo de ejecución

Las imágenes seguras no son suficientes: protege el entorno de ejecución.

Medidas clave

1. Ejecutar sin privilegios root

   dockerfile

   USER 1001  # En Dockerfile
   

   bash

   docker run --user 1001 mi-app  # Durante la ejecución
   

2. Limitar recursos

   bash

   docker run --cpus 2 --memory 512m --pids-limit 100 mi-app
   

3. Sistema de archivos solo lectura

   bash

   docker run --read-only --tmpfs /tmp mi-app
   

4. Eliminar capacidades innecesarias

   bash

   docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE nginx
   

Advertencia: Elimina capacidades peligrosas como SYS_ADMIN y NET_RAW.

Seguridad de red y aislamiento

Las redes Docker suelen tener configuraciones demasiado permisivas.

Medidas de protección

1. Redes bridge personalizadas

   bash

   docker network create --driver bridge frontend-seguro
   docker run --network frontend-seguro react-app
   

2. Minimizar exposición de puertos

   dockerfile

   EXPOSE 443/tcp  # Solo exponer puertos necesarios
   

3. Cifrado TLS

   • mTLS con mallas de servicio como Istio

4. Bloquear movimiento lateral

   bash

   dockerd --icc=false  # Desactivar comunicación entre contenedores
   

Protección del host

Un host comprometido pone en riesgo todos los contenedores.

Acciones esenciales

1. Activar SELinux/AppArmor

   bash

   apparmor_parser -r /etc/apparmor.d/docker-restringido
   

2. Asegurar el daemon Docker

   bash

   chmod 660 /var/run/docker.sock && chown root:docker /var/run/docker.sock
   

3. Docker sin root (experimental)

   bash

   dockerd-rootless-setuptool.sh install
   

Gestión de secretos

¡Nunca almacenes credenciales en imágenes o variables de entorno!

Soluciones recomendadas

1. Secretos Docker (modo Swarm)

   bash

   echo "db_pass" | docker secret create db_pass -
   

2. Integración con HashiCorp Vault

   bash

   docker run --env VAULT_TOKEN=s.xyz mi-app
   

Monitoreo y respuesta a incidentes

Herramientas esenciales

1. Falco para detección de anomalías

   bash

   falco -r /etc/falco/reglas_falco.yaml
   

2. Registro centralizado

   bash

   dockerd --log-driver=journald  # Integración con systemd-journal
   

3. Auditorías regulares

   bash

   ./docker-bench-security.sh  # Automatizar verificaciones CIS
   

Estrategias avanzadas

1. Sandboxing con gVisor

docker run --runtime=runsc nginx  # Capa adicional de seguridad

2. Redes Zero-Trust

• Mallas de servicio como Linkerd para mTLS

3. Infraestructura inmutable

• Reconstruir contenedores en lugar de aplicar parches en vivo

Conclusión

La seguridad en Docker es un proceso continuo. Imágenes mínimas, endurecimiento del entorno y monitoreo automatizado reducen superficies de ataque. Combina estas prácticas con herramientas como Falco para seguridad empresarial.

FAQ

P: ¿Cómo gestiono contraseñas de bases de datos?

R: Usa Docker Secrets o HashiCorp Vault – ¡nunca en imágenes!

P: ¿Es seguro exponer la API de Docker?

R: ¡No! Restringe el acceso a /var/run/docker.sock.

P: ¿Cada cuánto escaneo imágenes?

R: En cada compilación mediante CI/CD – automatiza con Trivy.