🔐 Container Security: Bảo Mật Trong Thời Đại Docker

1. Vì sao cần bảo mật container?

• Container (như Docker) giúp đóng gói ứng dụng và môi trường chạy → dễ triển khai, nhanh, nhất quán.

• Tuy nhiên, container không hoàn toàn cách ly như máy ảo → nếu bị tấn công, hacker có thể:

  • Chiếm quyền truy cập host.

  • Truy cập dữ liệu nhạy cảm.

  • Lợi dụng image chứa malware.

👉 Vì thế, Container Security là lớp bảo vệ quan trọng trong DevOps & MLOps.

2. Các mối đe dọa phổ biến với Docker & Container

1. Image không an toàn

   • Image lấy từ registry công cộng có thể chứa lỗ hổng.

   • Ví dụ: sử dụng ubuntu:latest chưa được vá.

2. Misconfiguration (Cấu hình sai)

   • Chạy container với quyền root.

   • Gắn volume không kiểm soát.

3. Runtime Attacks (tấn công khi chạy)

   • Container breakout → thoát khỏi container để kiểm soát host.

   • Khai thác network giữa các container.

4. Supply Chain Attacks

   • Thư viện phụ thuộc trong image bị chèn mã độc.

3. Nguyên tắc bảo mật container

1. Nguyên tắc tối thiểu quyền hạn (Least Privilege)

   • Không chạy container với root.

   • Giới hạn capability Linux.

2. Quản lý image an toàn

   • Dùng base image chính thống, thường xuyên cập nhật.

   • Scan image bằng Trivy, Anchore, Clair.

3. Bảo mật registry

   • Sử dụng private registry (Harbor, AWS ECR, GCP Artifact Registry).

   • Bật xác thực và TLS.

4. Network Security

   • Giới hạn cổng mở.

   • Sử dụng service mesh hoặc firewall.

5. Runtime Security & Monitoring

   • Công cụ: Falco, Sysdig Secure để phát hiện bất thường.

   • Logging và giám sát với Prometheus, Grafana.

6. Kubernetes Security (nếu dùng K8s)

   • Dùng PodSecurityPolicy, NetworkPolicy.

   • Tích hợp với admission controller (OPA/Gatekeeper).

4. Công cụ bảo mật Container phổ biến

• Trivy: scan image để tìm lỗ hổng CVE.

• Clair: công cụ phân tích lỗ hổng container.

• Falco: phát hiện bất thường khi runtime.

• Harbor: private registry có tính năng scan bảo mật.

• Docker Bench for Security: kiểm tra cấu hình Docker daemon.

5. Best Practices trong thời đại Docker

• ✅ Sử dụng minimal base image (Alpine Linux, Distroless).

• ✅ Ký image (Docker Content Trust, Notary).

• ✅ Dùng CI/CD pipeline để scan image tự động.

• ✅ Tách biệt môi trường Dev – Test – Prod.

• ✅ Giám sát liên tục & phản ứng sự cố nhanh.

6. Kết luận

Trong thời đại Docker và Kubernetes, container giúp phát triển & triển khai nhanh hơn, nhưng bảo mật phải đi kèm tốc độ. Một lỗ hổng nhỏ trong container có thể trở thành “cửa hậu” để hacker xâm nhập toàn hệ thống.

👉 Vì vậy, hãy coi Container Security là một phần bắt buộc của DevSecOps, không phải là “tùy chọn thêm vào”.