Docker Images bilden die Grundlage für Container-Anwendungen. Sicherheitslücken in Images können zu ernsthaften Problemen führen, insbesondere in Produktionsumgebungen. Um Container sicher zu betreiben, sollten Images signiert, regelmäßig auf Schwachstellen geprüft und zeitnah aktualisiert werden. Dieses Tutorial erklärt praxisnah, wie Docker Image Security umgesetzt wird.

Image Signaturen

Signaturen gewährleisten die Integrität und Herkunft von Docker Images. Nur signierte Images sollten in Produktion eingesetzt werden, um Manipulationen zu erkennen.

Docker Content Trust (DCT)

Docker Content Trust ermöglicht die Signierung und Verifizierung von Images mittels Notary.

# DCT aktivieren
export DOCKER_CONTENT_TRUST=1

# Image pullen mit Verifizierung
docker pull myrepo/myimage:latest

• Images werden nur gezogen, wenn eine gültige Signatur vorliegt
• Verhindert das Verwenden manipulierten Images
• Signaturen können in CI/CD-Pipelines integriert werden

Image Scans auf Sicherheitslücken

Regelmäßige Scans helfen, bekannte Schwachstellen in Images zu identifizieren.

Docker Scan

# Image auf Schwachstellen prüfen
docker scan myrepo/myimage:latest

• Scans zeigen CVEs (Common Vulnerabilities and Exposures) an
• Empfehlungen zur Behebung werden ausgegeben
• Integration in CI/CD ermöglicht automatische Sicherheitsprüfungen

Trivy als Scanner

# Trivy installieren und Scan durchführen
trivy image myrepo/myimage:latest

• Unterstützt Schwachstellen- und Misconfiguration-Scans
• Unterstützt verschiedene Image-Formate und Registry-Typen
• Ergebnisse lassen sich automatisiert in Reports ausgeben

Image Updates und Patch-Management

Regelmäßige Updates minimieren das Risiko von Sicherheitslücken durch veraltete Pakete.

Basis-Image regelmäßig aktualisieren

# Neues Basis-Image verwenden
FROM python:3.11-alpine
Build erneut ausführen
docker build -t myapp:latest .

• Aktualisierung der Pakete vor dem Build
• Multi-Stage Builds helfen, nur aktuelle Artefakte ins finale Image zu übernehmen
• Automatisierte Builds in CI/CD sichern aktuelle Images

Least Privilege Prinzip

Container sollten nicht als Root laufen, um Risiken zu minimieren.

FROM node:18-alpine
WORKDIR /app
COPY . .
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
USER appuser
CMD ["node", "server.js"]

• Reduziert Angriffsfläche
• Verhindert, dass Container Root-Rechte auf dem Host erhalten
• Best Practice für produktive Umgebungen

Minimalistische Images

Kleinere Images enthalten weniger Pakete und reduzieren somit mögliche Schwachstellen.

• Alpine- oder Slim-Varianten bevorzugen
• Nur notwendige Pakete installieren
• Temporäre Build-Tools in Multi-Stage Builds entfernen

Monitoring und Logging

Sicherheitsrelevante Ereignisse sollten überwacht werden, um Angriffe frühzeitig zu erkennen.

• Docker Audit Logs aktivieren
• Monitoring-Tools für Container einsetzen (Prometheus, Falco)
• Automatisierte Alerts bei verdächtigen Aktivitäten

Praxisbeispiele

Signiertes Image mit DCT ziehen

export DOCKER_CONTENT_TRUST=1
docker pull myrepo/myimage:1.0.0

Security Scan mit Trivy

trivy image myrepo/myimage:latest

Minimalistisches Python-Image mit Non-Root User

FROM python:3.11-alpine
WORKDIR /app
COPY requirements.txt .
RUN pip install --no-cache-dir -r requirements.txt
COPY . .
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
USER appuser
CMD ["python", "app.py"]

Best Practices zusammengefasst

• Signaturen verwenden, z. B. Docker Content Trust
• Regelmäßige Security Scans durchführen
• Basis-Images aktuell halten und Pakete patchen
• Container mit minimalen Rechten ausführen
• Multi-Stage Builds nutzen, um unnötige Tools zu entfernen
• Minimalistische Images bevorzugen
• Monitoring und Logging für Container-Sicherheit implementieren
• CI/CD-Pipelines mit automatisierten Security Checks ausstatten

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.