Roadmap Docker: Bảo mật Image và Runtime – Hướng dẫn cho người mới bắt đầu

Chào mừng các bạn quay trở lại với series “Roadmap Docker”. Sau khi đã tìm hiểu về Container Là Gì, cách Hiểu về Docker và Tiêu chuẩn OCI, các kiến thức nền tảng về Linux, quản lý Package Managers, Người Dùng và Quyền Hạn, và cách Viết Dockerfile Tốt Hơn, chúng ta đã sẵn sàng để đưa ứng dụng vào thế giới container. Tuy nhiên, việc vận hành ứng dụng trong container không có nghĩa là chúng ta có thể bỏ qua khía cạnh bảo mật. Ngược lại, môi trường container mang đến những thách thức và yêu cầu riêng về an ninh.

Trong bài viết này, chúng ta sẽ tập trung vào hai khía cạnh chính của bảo mật trong Docker: Bảo mật Image (lúc xây dựng) và Bảo mật Runtime (lúc chạy container). Hiểu rõ và áp dụng các thực tiễn tốt nhất cho cả hai giai đoạn này là vô cùng quan trọng để bảo vệ ứng dụng và hạ tầng của bạn.

Bảo mật Image Docker: Xây dựng nền tảng an toàn

Image Docker là nền tảng của container. Một image không an toàn có thể chứa lỗ hổng, mã độc hoặc cấu hình sai, tạo ra rủi ro ngay từ trước khi container được khởi chạy. Việc đảm bảo an toàn cho image bắt đầu từ quá trình xây dựng (build).

1. Chọn Base Image đáng tin cậy và tối thiểu

Mọi Dockerfile đều bắt đầu bằng lệnh FROM, chỉ định base image. Việc lựa chọn base image có nguồn gốc rõ ràng và đã được bảo trì thường xuyên là bước đầu tiên và quan trọng nhất. Docker Hub có các Official Images được kiểm duyệt. Tuy nhiên, ngay cả image chính thức cũng có thể chứa các thành phần không cần thiết hoặc lỗ hổng.

Để giảm thiểu bề mặt tấn công (attack surface), hãy ưu tiên các base image tối thiểu (minimal images) như Alpine Linux, Distroless, hoặc thậm chí là scratch nếu có thể. Các image này chứa rất ít hoặc không có các công cụ hệ thống, shell, hay thư viện không cần thiết cho ứng dụng của bạn, từ đó giảm đáng kể số lượng lỗ hổng tiềm tàng.

# Tránh sử dụng các base image cồng kềnh và có nhiều công cụ
# FROM ubuntu:latest 

# Ưu tiên các base image tối thiểu
FROM alpine:latest 
# Hoặc
# FROM gcr.io/distroless/static

Việc này cũng giúp tối ưu kích thước image, mang lại lợi ích về tốc độ build, push/pull và giảm dung lượng lưu trữ.

2. Giảm thiểu nội dung trong Image

Mỗi lớp (layer) trong image Docker được tạo ra từ một lệnh trong Dockerfile. Mỗi lớp này có thể chứa các tập tin và thư viện không cần thiết. Nguyên tắc là chỉ đưa vào image những gì ứng dụng cần để chạy.

  • Tránh cài đặt các gói không cần thiết (ví dụ: trình soạn thảo văn bản, công cụ debug đầy đủ) trong image sản xuất.
  • Sử dụng lệnh RUN kết hợp để cài đặt và dọn dẹp trong cùng một lớp, giảm kích thước image và loại bỏ các tập tin tạm không mong muốn. Liên quan đến kiến thức về Package Managers.
# Cách không tối ưu: Tạo nhiều layer không cần thiết
# RUN apt-get update
# RUN apt-get install -y --no-install-recommends myapp-dependencies
# RUN apt-get clean && rm -rf /var/lib/apt/lists/*

# Cách tốt hơn: Kết hợp các lệnh
RUN apt-get update && \
    apt-get install -y --no-install-recommends myapp-dependencies && \
    apt-get clean && \
    rm -rf /var/lib/apt/lists/*

3. Áp dụng Nguyên tắc Đặc quyền Tối thiểu (Principle of Least Privilege) với USER

Theo mặc định, container chạy bằng user root bên trong container, điều này tạo ra rủi ro bảo mật lớn. Nếu một lỗ hổng trong ứng dụng bị khai thác, kẻ tấn công có thể có quyền root trong container, và tiềm năng leo thang đặc quyền ra ngoài host.

Luôn tạo một user không phải root trong Dockerfile và sử dụng lệnh USER để chuyển sang user này trước khi chạy ứng dụng. Kiến thức về Người Dùng, Nhóm và Quyền Hạn trong Linux là rất hữu ích ở đây.

# Tạo một nhóm và user
RUN groupadd -r appuser && useradd -r -g appuser appuser
# Thiết lập quyền sở hữu cho thư mục ứng dụng (nếu cần)
RUN chown -R appuser:appuser /app
# Chuyển sang user không phải root
USER appuser
# Chạy ứng dụng dưới user 'appuser'
CMD ["./my-app"]

4. Sử dụng Multi-stage Builds

Multi-stage builds cho phép bạn sử dụng nhiều lệnh FROM trong một Dockerfile. Bạn có thể sử dụng stage đầu tiên để biên dịch mã nguồn, chạy kiểm thử, v.v., và chỉ sao chép các artifact cần thiết sang stage thứ hai (thường là một base image tối thiểu) để tạo image cuối cùng.

Điều này giúp loại bỏ các công cụ build, mã nguồn, và các tập tin trung gian ra khỏi image cuối cùng, giảm kích thước và bề mặt tấn công. Tham khảo thêm các Mẹo và Thủ Thuật Viết Dockerfile Tốt Hơn.

5. Tránh đưa Thông tin Nhạy cảm vào Image

Không bao giờ hardcode hoặc đưa các thông tin nhạy cảm (mật khẩu, khóa API, chứng chỉ, v.v.) vào Dockerfile hoặc sao chép chúng vào image trong quá trình build. Mọi thứ được thêm vào image sẽ tồn tại trong một layer và có thể bị truy xuất.

Sử dụng các cơ chế quản lý secrets của Docker (Docker Secrets), hoặc các giải pháp bên ngoài như HashiCorp Vault, AWS Secrets Manager, Kubernetes Secrets (khi sử dụng orchestrator) để truyền thông tin nhạy cảm vào container tại thời điểm runtime.

6. Quét lỗ hổng (Vulnerability Scanning)

Tự động quét image Docker để phát hiện các lỗ hổng đã biết (CVEs) trong các gói phần mềm là một bước quan trọng trong quy trình CI/CD. Các công cụ phổ biến bao gồm Trivy, Clair, Grype, và Docker Scan (powered by Snyk).

Tích hợp việc quét vào pipeline build của bạn để đảm bảo chỉ các image vượt qua kiểm tra bảo mật mới được đẩy lên registry hoặc triển khai.

7. Ký tên Image (Image Signing)

Sử dụng Docker Content Trust (được cung cấp bởi Notary) để ký tên image của bạn. Điều này cho phép người dùng xác minh tính toàn vẹn và nguồn gốc của image trước khi kéo về và chạy. Ký tên image giúp ngăn chặn việc sử dụng các image đã bị giả mạo hoặc can thiệp.

# Bật Docker Content Trust
export DOCKER_CONTENT_TRUST=1

# Build và push image (sẽ yêu cầu ký tên)
docker build -t your_repo/your_image:latest .
docker push your_repo/your_image:latest

Bảo mật Runtime Container: Vận hành an toàn

Ngay cả khi bạn đã xây dựng một image an toàn, các rủi ro vẫn tồn tại trong quá trình container đang chạy. Cấu hình runtime không đúng có thể làm giảm hiệu quả của các biện pháp bảo mật trong image hoặc tạo ra các lỗ hổng mới.

Khi chạy Container với docker run, có rất nhiều tùy chọn cấu hình Tùy Chọn Cấu Hình Thời Gian Chạy mà bạn cần lưu ý.

1. Luôn chạy Container với User Không phải Root

Nhấn mạnh lại điều này vì nó cực kỳ quan trọng. Nếu image của bạn chưa cấu hình user không phải root bằng lệnh USER, bạn có thể buộc container chạy với user cụ thể bằng tùy chọn -u (hoặc --user) của lệnh docker run.

# Chạy container với user có UID 1000
docker run -u 1000 my_image

# Chạy container với user 'appuser' (nếu user 'appuser' tồn tại trong image)
docker run -u appuser my_image

2. Giới hạn Tài nguyên (Resource Limits)

Một container bị xâm nhập có thể cố gắng chiếm dụng toàn bộ tài nguyên CPU hoặc bộ nhớ của host, gây ra tình trạng Từ chối Dịch vụ (DoS) cho các container khác hoặc chính host. Sử dụng các tùy chọn như --cpus, --memory, --memory-swap để giới hạn tài nguyên mà container có thể sử dụng.

# Giới hạn container chỉ sử dụng tối đa 0.5 CPU core và 512MB bộ nhớ
docker run --cpus="0.5" --memory="512m" my_image

3. Quản lý Quyền truy cập Filesystem

Theo mặc định, filesystem root của container là writable. Sử dụng tùy chọn --read-only để làm cho filesystem root trở thành chỉ đọc. Nếu ứng dụng cần ghi dữ liệu, hãy sử dụng Volume (Lưu trữ Dữ liệu Bền vững) hoặc Bind Mounts (Hiểu Rõ Về Volume Mounts và Bind Mounts) để cung cấp các điểm ghi cụ thể. Điều này giúp ngăn chặn container ghi vào các khu vực nhạy cảm của filesystem hoặc cài đặt mã độc.

# Chạy container với filesystem root chỉ đọc
docker run --read-only my_image

# Chạy container với filesystem root chỉ đọc, nhưng cho phép ghi vào /app/data thông qua volume
docker run --read-only -v my_data:/app/data my_image

4. Bảo mật Mạng (Network Security)

Theo mặc định, các container trên cùng một bridge network có thể giao tiếp với nhau. Sử dụng custom networks để cô lập các nhóm container khác nhau. Chỉ expose các port cần thiết ra host hoặc các network khác bằng tùy chọn -p hoặc --publish. Trong môi trường orchestration, sử dụng Network Policies để kiểm soát chi tiết lưu lượng mạng giữa các container và các tài nguyên bên ngoài.

# Chạy container trong một custom network tên là 'my_app_net'
docker network create my_app_net
docker run --network=my_app_net my_image

# Chỉ expose port 80 của container ra port 8080 của host
docker run -p 8080:80 my_image

5. Sử dụng Seccomp, AppArmor, SELinux và giới hạn Capabilities

Docker sử dụng các công nghệ bảo mật của Linux như Namespaces, cgroups (Hiểu Đơn Giản Về Namespaces, cgroups) để cô lập container. Bên cạnh đó, Seccomp (Secure Computing Mode), AppArmor (Application Armor) và SELinux (Security-Enhanced Linux) cung cấp các lớp bảo mật bổ sung bằng cách hạn chế các lệnh gọi hệ thống (syscalls) mà container có thể thực hiện hoặc kiểm soát quyền truy cập vào tài nguyên hệ thống.

  • Seccomp: Theo mặc định, Docker sử dụng một profile seccomp mặc định loại bỏ một số syscall nguy hiểm. Bạn có thể tải profile seccomp tùy chỉnh bằng --security-opt seccomp:/path/to/profile.json.
  • AppArmor/SELinux: Các công nghệ này dựa trên cấu hình chính sách trên host Linux. Docker có thể áp dụng các profile AppArmor (mặc định là docker-default) hoặc SELinux tùy chỉnh bằng --security-opt apparmor=<profile> hoặc --security-opt label=<label>.

Capabilities: Thay vì chạy container với tùy chọn --privileged (cấp gần như toàn bộ quyền root của host cho container – KHÔNG BAO GIỜ LÀM ĐIỀU NÀY TRONG MÔI TRƯỜNG SẢN XUẤT trừ khi hiểu rõ rủi ro và thực sự cần thiết), hãy cấp cho container chỉ những quyền cụ thể mà nó cần sử dụng các tùy chọn --cap-drop (bỏ đi các quyền mặc định) và --cap-add (thêm các quyền cụ thể).

# Chạy container mà bỏ đi capability NET_RAW (ngăn chặn việc tạo gói tin mạng thô)
docker run --cap-drop NET_RAW my_image

# Thêm capability SYS_TIME (cho phép thay đổi đồng hồ hệ thống - rất hiếm khi cần)
docker run --cap-add SYS_TIME my_image

6. Quản lý Secrets tại Runtime

Như đã đề cập ở phần image, thông tin nhạy cảm không được đưa vào image. Khi chạy container, sử dụng các cơ chế an toàn để truyền secrets:

  • Docker Secrets: Đối với Docker Swarm, đây là cơ chế tích hợp để quản lý và truyền secrets một cách an toàn tới các service.
  • Environment Variables: Tuy đơn giản với tùy chọn -e, nhưng cần cẩn thận vì các biến môi trường có thể dễ dàng bị lộ ra (ví dụ: qua docker inspect, log lỗi). Chỉ dùng cho thông tin không quá nhạy cảm hoặc trong môi trường phát triển/test.
  • Volume Mounts: Mount secrets từ host hoặc volume chỉ đọc vào container. Cần đảm bảo quyền truy cập vào volume đó được kiểm soát chặt chẽ.

7. Ghi log và Giám sát (Logging and Monitoring)

Thiết lập hệ thống ghi log tập trung (ví dụ: ELK stack, Grafana Loki) và giải pháp giám sát (ví dụ: Prometheus, Datadog) cho các container của bạn. Việc thu thập và phân tích log giúp phát hiện sớm các hành vi bất thường hoặc dấu hiệu của một cuộc tấn công. Theo dõi tài nguyên và hiệu suất giúp phát hiện các vấn đề liên quan đến giới hạn tài nguyên đã cấu hình.

Tích hợp Bảo mật vào Quy trình CI/CD

Bảo mật không phải là bước cuối cùng, mà là một quy trình liên tục. Tích hợp các kiểm tra bảo mật vào pipeline CI/CD của bạn:

  • Tự động quét lỗ hổng image sau mỗi lần build.
  • Tự động quét mã nguồn để phát hiện các lỗ hổng bảo mật.
  • Sử dụng các công cụ kiểm tra cấu hình Dockerfile để tuân thủ các thực tiễn tốt nhất về bảo mật.
  • Tự động ký tên image trước khi đẩy lên registry.

Điều này giúp phát hiện sớm các vấn đề bảo mật, trước khi chúng được triển khai ra môi trường sản xuất.

So sánh các biện pháp bảo mật

Dưới đây là bảng tóm tắt so sánh các biện pháp bảo mật ở giai đoạn build và runtime:

Khía cạnh Bảo mật Image (Build-time) Bảo mật Runtime (Runtime)
Mục tiêu chính Đảm bảo image sạch, tối thiểu và tuân thủ các thực tiễn an toàn trước khi chạy. Cô lập container khỏi host và các container khác, giới hạn quyền hạn và tài nguyên trong khi container đang chạy.
Ví dụ biện pháp
  • Chọn base image tối thiểu.
  • Giảm thiểu nội dung (file, gói).
  • Cấu hình USER không phải root.
  • Multi-stage builds.
  • Quét lỗ hổng image.
  • Ký tên image.
  • Tránh secrets trong Dockerfile.
  • Chạy container với user không phải root (-u).
  • Giới hạn tài nguyên (–cpus, –memory).
  • Filesystem chỉ đọc (–read-only).
  • Quản lý Volume/Bind Mounts cẩn thận.
  • Cấu hình mạng an toàn (–network, -p).
  • Sử dụng Seccomp/AppArmor/SELinux.
  • Giới hạn Capabilities (–cap-drop, –cap-add).
  • Quản lý secrets tại runtime (Docker Secrets).
  • Ghi log và giám sát.
Công cụ/Cấu hình liên quan Dockerfile, Quét image (Trivy, Clair), Docker Content Trust, CI Pipeline. Lệnh docker run (các tùy chọn), Docker Daemon config, Seccomp profiles, AppArmor/SELinux policies, Docker Secrets, Logging drivers.
Rủi ro giảm thiểu Lỗ hổng trong image, mã độc trong image, cấu hình sai trong image, lộ secrets trong image. Leo thang đặc quyền từ container ra host, container bị xâm nhập tấn công các container khác, DoS tài nguyên host, truy cập trái phép vào filesystem/secrets.

Các Khái niệm Nâng cao (dành cho người muốn tìm hiểu sâu hơn)

Khi đã nắm vững các kiến thức cơ bản, bạn có thể tìm hiểu sâu hơn về:

  • Bảo mật Docker Daemon: Kiểm soát quyền truy cập vào Docker Daemon socket, cấu hình tường lửa, sử dụng TLS.
  • Image Registry Security: Bảo mật registry Docker Hub hoặc private registry của bạn, kiểm soát quyền truy cập, quét image trong registry. (Có thể tham khảo Hưỡng Dẫn Về Docker Hub và Các Registry Thay Thế).
  • Kernel Security: Đảm bảo kernel Linux trên host Docker được vá lỗi và cấu hình an toàn.
  • Orchestration Security: Các nền tảng như Kubernetes hoặc Docker Swarm có các lớp bảo mật riêng cần được cấu hình (ví dụ: RBAC, Pod Security Policies trong Kubernetes).

Kết luận

Bảo mật Docker Image và Runtime là một hành trình liên tục, không phải là một điểm đến. Bắt đầu từ những thực tiễn cơ bản như chọn base image phù hợp, chạy container với user không phải root, và giới hạn tài nguyên. Dần dần, tích hợp việc quét bảo mật vào quy trình phát triển và triển khai của bạn.

Với vai trò là một DevOps Engineer, đặc biệt là khi mới bắt đầu, việc nắm vững các nguyên tắc và kỹ thuật bảo mật này là tối quan trọng. Nó không chỉ giúp bảo vệ ứng dụng của bạn mà còn xây dựng sự tin cậy và ổn định cho toàn bộ hệ thống.

Hãy thực hành thường xuyên và không ngừng tìm hiểu các mối đe dọa và biện pháp đối phó mới. An toàn là trách nhiệm của tất cả mọi người!

Hẹn gặp lại các bạn trong những bài viết tiếp theo của series Roadmap Docker!

Recent News Articles

Fresh job related news content posted each day.

Mục lục

Chỉ mục