Docker-Container sind nicht automatisch sicher. Gehen Sie diese Checkliste durch.
Image¶
- ☐ Offizielles oder verifiziertes Base Image
- ☐ Gepinnter Tag (nicht :latest)
- ☐ Multi-Stage Build (minimales finales Image)
- ☐ Image-Scanning (Trivy, Snyk)
- ☐ Keine Secrets in Image Layers
Runtime¶
- ☐ Non-Root-Benutzer
- ☐ Read-Only Filesystem wo moeglich
- ☐ Alle Capabilities droppen, nur benoetigte hinzufuegen
- ☐ Seccomp/AppArmor-Profil
- ☐ Resource Limits (Memory, CPU)
Netzwerk¶
- ☐ Minimale offene Ports
- ☐ Custom Network (nicht Default Bridge)
- ☐ TLS fuer Inter-Container-Kommunikation
Host¶
- ☐ Docker Daemon ohne TCP (nur Socket)
- ☐ User Namespace Remapping
- ☐ Aktuelle Docker-Version
- ☐ Log Rotation konfiguriert
Werkzeug¶
Fuehren Sie docker bench security (github.com/docker/docker-bench-security) fuer ein automatisiertes Audit aus.
dockersecuritycontainers