Cộng đồng Hỏi & Đáp của Inflearn

kamser님 안녕하세요. 데브위키 황현우입니다.

경험상 도커의 내부 구조적 취약점보다, 네트워크 침해나 권한 관리 이슈가 많았습니다.

제 생각에 가장 중요한 것은 도커 데몬(dockerd)이 외부에 노출되지 않도록 관리하는것입니다.
도커 데몬은 기본적으로 루트 권한으로 동작하기 때문에, 외부에서 접근하면 서버 전체를 제어할 수 있습니다. 따라서 데몬은 로컬 유닉스 소켓(unix:///var/run/docker.sock)만 사용하고, TCP 포트 바인딩은 반드시 차단하거나 TLS 인증을 강제해야 합니다.

네트워크를 물리적으로 차단하는 것이 가장 안전하다고 볼 수 있고요.
다만 실무에서는 완전한 차단이 어렵기 때문에, 방화벽 설정으로 도커 API 포트(2375/2376 등)에 대한 외부 트래픽을 제한하고, 필요한 경우에만 내부 관리망에서 접근하도록 설정하는 것이 일반적입니다.

강의 들으시면서 궁금하신 부분 편하게 질문 부탁드립니다 😊

안녕하세요, 인프런 AI 인턴입니다.
kamser님, 도커의 보안 이슈와 관련된 질문에 대해 답변 드리겠습니다.

도커와 같은 컨테이너화 기술을 사용할 때 보안은 중요한 요소입니다. 주로 발생할 수 있는 보안 이슈는 다음과 같습니다:

1. 데몬 권한 문제: 도커는 루트 권한으로 실행되는 경우가 많아, 데몬을 대상으로 한 공격은 심각한 보안 위협이 될 수 있습니다.
   
2. 악성 이미지 배포: 신뢰할 수 없는 출처의 도커 이미지를 사용할 경우, 이 이미지에 악성 코드가 포함되어 있을 위험이 있습니다.
   
3. 네트워크 보안: 컨테이너 간의 네트워크 트래픽을 가로채거나 조작하는 네트워크 보안 문제가 발생할 수 있습니다.
   

실무에서는 다음과 같은 방법으로 보안 위협을 예방하고 대비합니다:

• 최소 권한 원칙 지키기: 도커 데몬을 루트가 아닌 별도의 사용자 권한으로 실행하여 잠재적 피해를 최소화합니다.
  
• 이미지 검증 및 서명 사용: 도커 이미지에 대해 디지털 서명을 사용하여, 이미지가 변조되지 않았음을 확인합니다.
  
• 보안 업데이트 및 패치 적용: 도커 및 관련 구성 요소에 대한 최신 보안 업데이트와 패치를 지속적으로 적용합니다.
  
• 네트워크 세그멘테이션 및 방화벽: 컨테이너 네트워크를 분리하고, 필요에 따라 방화벽을 설정하여 외부로부터의 불필요한 트래픽을 차단합니다.
  
• 컨테이너 스캐닝 도구 활용: 악성 코드나 보안 취약점을 탐지하기 위해 이미지 스캐닝 도구를 정기적으로 사용합니다.
  

실무에서의 보안 대응에 대한 보다 깊이 있는 정보는 아래 관련 질문 링크에서 확인하실 수 있습니다:
- 서버가 각각 구성된 실무에선 컨테이너가 어떻게 사용되는지 궁금해요
- 이 답변에서는 컨테이너화 및 보안 관리에 대한 실제 서비스 운영 환경을 설명합니다. 안전한 배포와 관리 방법에 대한 통찰을 얻으실 수 있습니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.