Wprowadzenie
Container Security to zestaw praktyk, narzędzi i zasad chroniących kontenery (głównie Docker i Kubernetes) na każdym etapie ich cyklu życia — od budowania obrazu, przez uruchomienie, aż po monitoring.
Główne zagrożenia
- Podatności w obrazach bazowych (vulnerable base images)
- Secrets w obrazach (klucze API, hasła)
- Niebezpieczne konfiguracje (uruchamianie jako root)
- Ataki na supply chain (typu SolarWinds / XZ Utils)
- Escalation of privileges i container breakout
- Ataki na sieć i DoS
Warstwy ochrony (Defense in Depth)
- Build Phase – Image Scanning (Trivy, Grype, Snyk)
- Image Signing – Cosign, Notary v2
- Runtime Security – Falco, Tracee, Sysdig, eBPF
- Network Security – Network Policies, Service Mesh (Istio)
- Secrets Management – Kubernetes Secrets + Vault, Sealed Secrets
- Pod Security – Pod Security Admission, Kyverno, OPA Gatekeeper
Najważniejsze best practices (2026)
- Nie uruchamiaj kontenerów jako root (non-root user)
- Używaj minimalnych, distroless lub scratch images
- Regularne skanowanie obrazów w CI/CD
- Implementacja Runtime Protection
- Zero-trust networking
- Immutable infrastructure
Aktualny stan (2026)
Container Security stało się standardem w chmurze. Narzędzia takie jak Trivy, Falco, Kyverno i cosign są szeroko stosowane. Coraz więcej organizacji wdraża Software Bill of Materials (SBOM) oraz automatyczne polityki bezpieczeństwa w pipeline’ach.
Powiązane pojęcia
Docker Security • Kubernetes Security • Supply Chain Security • SBOM • Falco • Trivy • eBPF • Zero Trust • Runtime Security • Image Hardening
Dodano: 17 maja 2026