container-security-testing

Umiejętność zawierająca metodologię kompleksowego testowania bezpieczeństwa aplikacji kontenerowych. Obejmuje skanowanie obrazów Docker pod kątem podatności (Trivy, Clair), weryfikację konfiguracji Dockerfile, kontrolę uprawnień kontenerów, sprawdzenie limitów zasobów oraz audyt konfiguracji Kubernetes. Zawiera praktyczne polecenia do testowania bezpieczeństwa obrazów, analizy uprawnień kontenerów, izolacji sieci i systemu plików. Idealna dla DevOps i inżynierów bezpieczeństwa zajmujących się konteneryzacją.

1. Zainstaluj narzędzie Trivy, które służy do skanowania obrazów Docker na podatności. Uruchom polecenie: trivy image nazwa_obrazu:tag, aby przeskanować obraz z repozytorium, lub trivy image --input plik.tar, aby przeskanować lokalny obraz. Możesz filtrować wyniki tylko do krytycznych podatności za pomocą flagi --severity HIGH,CRITICAL.

2. Przeanalizuj konfigurację Dockerfile pod kątem zagrożeń bezpieczeństwa. Sprawdź, czy używasz konkretnych wersji obrazów bazowych (zamiast latest), czy wszystkie pakiety mają określone wersje, czy aplikacja nie działa jako root, oraz czy nie ma hardkodowanych haseł lub danych wrażliwych w zmiennych środowiskowych.

3. Wdrażaj najlepsze praktyki w Dockerfile: używaj konkretnych tagów wersji (np. ubuntu:20.04), twórz użytkowników bez uprawnień root (RUN useradd -m appuser; USER appuser), minimalizuj rozmiar obrazu wybierając alpine, oraz stosuj wieloetapowe buildy (FROM ... AS builder) aby zmniejszyć warstwę finalną.

4. Sprawdź uprawnienia i konfigurację działających kontenerów za pomocą poleceń: docker ps --filter "label=privileged=true" (aby znaleźć kontenery uprzywilejowane), docker inspect nazwa_kontenera (aby sprawdzić zamontowane katalogi hosta i konfigurację sieci), oraz docker stats nazwa_kontenera (aby monitorować limity pamięci i CPU).

5. Dla środowisk Kubernetes przeanalizuj bezpieczeństwo konfiguracji: zweryfikuj ustawienia kont serwisowych, sprawdź polityki RBAC (Role-Based Access Control), przejrzyj sieciowe polityki dostępu oraz upewnij się, że kontenery mają odpowiednio skonfigurowane limity zasobów i izolację sieci.