容器与云安全实践指南 （聚焦 Docker 安全风险与云安全最佳实践）

• 特权模式滥用：容器以 --privileged 权限运行，可访问宿主机设备（如 /dev）。  
• 内核漏洞利用：如 CVE-2021-31440（eBPF 漏洞）、CVE-2022-0185（Linux 内核提权）。  
• 敏感目录挂载：挂载宿主机敏感路径（如 /proc、/sys），导致信息泄露或权限提升。  

• 禁止特权模式：避免使用 --privileged，改用精细化 --cap-add/--cap-drop 控制 Capabilities。  
• 启用命名空间隔离：确保 pid=host、net=host 等高风险参数仅在必要场景使用。  
• 限制文件系统挂载：避免挂载宿主机敏感目录，使用只读挂载（ro）。  
• 使用安全运行时：如 gVisor 或 Kata Containers，增强容器与宿主机的隔离层。  
• 定期更新内核与 Docker 版本：修复已知漏洞（如通过 uname -r 检查内核版本）。  

• 不安全的基础镜像：包含漏洞的官方或第三方镜像（如旧版 Alpine、Ubuntu）。  
• 敏感信息泄露：镜像中硬编码密钥、凭证（如 AWS Access Key、数据库密码）。  
• 恶意镜像：第三方镜像嵌入后门或恶意代码（如挖矿程序）。

• 使用可信镜像源：仅从官方仓库（Docker Hub 认证镜像）或私有仓库（如 Harbor）拉取镜像。  
• 镜像扫描工具：  
• Trivy：扫描镜像漏洞（trivy image <image_name>）。  
• Clair：集成到 CI/CD 管道，阻断含高危漏洞的镜像部署。  
• 最小化镜像内容：  
• 使用 Alpine 等轻量基础镜像，移除非必要组件（如 curl、bash）。  
• 多阶段构建（Multi-stage Build），分离编译与运行环境。  
• 删除敏感信息：  
• 禁止在 Dockerfile 中明文写入密码，使用 Secrets 管理（如 Docker Swarm/K8s Secrets）。  
• 清理构建历史：添加 --rm 参数或在最终镜像中删除临时文件。  

• VPC（虚拟私有云）：  
• 划分业务子网（如 Web 层、DB 层），通过路由表和安全组控制流量。  
• 使用 NAT 网关与私有子网，禁止公网直接访问后端服务。  
• 安全组（Security Group）：  
• 遵循最小权限原则：仅开放必要的端口（如 80/443），禁止 0.0.0.0/0 全开。  
• 区分入站/出站规则：默认拒绝所有入站流量，按需放行。  
• 微隔离（Microsegmentation）：  
• 使用 Calico、Cilium 等工具实现 Pod/VM 级别的网络策略（如 Kubernetes NetworkPolicy）。

• 存储加密：  
• 云盘加密：启用云服务商提供的静态加密（如 AWS EBS 加密、Azure Disk Encryption）。  
• 客户端加密：敏感数据在写入存储前使用 AES-256 加密。  
• 访问控制：  
• 遵循最小权限原则：通过 IAM 角色限制存储桶（如 AWS S3）的读写权限。  
• 禁用存储桶公共访问（如 AWS S3 Block Public Access）。  
• 隔离存储类型：  
• 区分临时存储（Ephemeral Storage）与持久化存储，避免敏感数据残留。  

• 集中化日志收集：  
• 使用 ELK Stack（Elasticsearch + Logstash + Kibana）或云服务（如 AWS CloudWatch、Azure Monitor）。  
• 采集容器日志（Docker JSON 日志驱动）、云平台操作日志（如 AWS CloudTrail）。  
• 实时告警：  
• 定义异常行为规则（如频繁登录失败、敏感 API 调用），触发 Slack/邮件告警。  
• 合规留存：  
• 日志留存周期符合 GDPR、HIPAA 等法规要求（通常 ≥6 个月）。 

• 镜像与基础设施扫描：  
• 镜像扫描：集成 Trivy、Anchore 到 CI/CD，阻断高风险镜像部署。  
• 云资源扫描：使用 AWS Inspector、Azure Security Center 检测配置错误（如开放 22 端口）。  
• 自动化修复：  
• 通过 IaC（Terraform）模板强制安全配置（如禁止公网访问数据库）。  
• 定期更新漏洞库（如 CVE 数据库），联动 WAF 拦截攻击。  

原文始发于微信公众号（运维星火燎原）：容器与云安全实践指南 （聚焦 Docker 安全风险与云安全最佳实践）