Container nao e maquina virtual completa
Containers compartilham kernel do host. Isolamento e logico via namespaces e cgroups. Container escape e quando processo dentro do container quebra isolamento e acessa host ou outros containers. Vulnerabilidades no runtime, kernel ou configuracao permissiva permitem escape.
Em VPS com Docker, seguranca do host afeta todos os containers.
Configuracoes perigosas
Rodar container como root, --privileged, montar socket Docker dentro do container, cap_add excessivo e imagens desatualizadas aumentam risco. Nunca exponha /var/run/docker.sock publicamente. Usuario nao-root dentro do container reduz impacto.
Leia documentacao de hardening do Docker antes de producao.
Imagens e updates
Use imagens oficiais ou confiaveis, fixe versoes, escaneie vulnerabilidades e atualize base regularmente. Multi-stage build reduz superficie. Nao instale ferramentas desnecessarias na imagem final.
Em Servidor Dedicado, separe ambientes e restrinja quem pode fazer docker run.
Rede e secrets
Rede interna para banco e Redis. Secrets via env ou vault, nao na imagem. AppArmor ou SELinux quando disponivel. Monitore anomalias no host.
Conclusao
Container escape e risco real, mitigado com usuario nao-root, sem privileged, imagens atualizadas e socket protegido. Trate containers como codigo que precisa de seguranca, nao caixa preta magica.
Nenhum comentário ainda. Seja o primeiro a comentar!