Container Security

Wprowadzenie

<strong>Container Security</strong> to zestaw praktyk, narzędzi i zasad chroniących kontenery (głównie Docker i Kubernetes) na każdym etapie ich cyklu życia — od budowania obrazu, przez uruchomienie, aż po monitoring.

Główne zagrożenia

  • Podatności w obrazach bazowych (vulnerable base images)
  • Secrets w obrazach (klucze API, hasła)
  • Niebezpieczne konfiguracje (uruchamianie jako root)
  • Ataki na supply chain (typu SolarWinds / XZ Utils)
  • Escalation of privileges i container breakout
  • Ataki na sieć i DoS

Warstwy ochrony (Defense in Depth)

  • <strong>Build Phase</strong> – Image Scanning (Trivy, Grype, Snyk)
  • <strong>Image Signing</strong> – Cosign, Notary v2
  • <strong>Runtime Security</strong> – Falco, Tracee, Sysdig, eBPF
  • <strong>Network Security</strong> – Network Policies, Service Mesh (Istio)
  • <strong>Secrets Management</strong> – Kubernetes Secrets + Vault, Sealed Secrets
  • <strong>Pod Security</strong> – Pod Security Admission, Kyverno, OPA Gatekeeper

Najważniejsze best practices (2026)

  • Nie uruchamiaj kontenerów jako root (non-root user)
  • Używaj minimalnych, distroless lub scratch images
  • Regularne skanowanie obrazów w CI/CD
  • Implementacja Runtime Protection
  • Zero-trust networking
  • Immutable infrastructure

Aktualny stan (2026)

Container Security stało się standardem w chmurze. Narzędzia takie jak Trivy, Falco, Kyverno i cosign są szeroko stosowane. Coraz więcej organizacji wdraża <strong>Software Bill of Materials (SBOM)</strong> oraz automatyczne polityki bezpieczeństwa w pipeline’ach.

Powiązane pojęcia

Dodano: 17 maja 2026