Securizando un servidor con contenedores

Tengo un servidor VPS que uso para trastear, y donde tengo alojado un servidor de Minetest. Hace un par de días estuve montandole Telegraf, InfluxDB y Grafana, para monitorizar recursos de la máquina (CPU y RAM mayormente), y tras una ardua pelea y un par de «follones» con el firewall, me he decidido a montarlo con Docker (y Ansible, para trastear doblemente).

Me ha venido a la mente los posibles problemas de seguridad que pueda haber. Se supone, y según he leído en la documentación de Docker, que Docker levanta sus propias reglas de firewall para mantener el entorno aislado, lo cual hace que levantar tus propias reglas de iptables sea prácticamente inútil e innecesario.

¿Hay algo que necesite saber para mantener el servidor seguro ante posibles ataques externos?

Por lo que se, al menos Telegraf e InfluxDB corren fuera de Docker (¿o deberían?), y eso podría ser un agujero.

Docker sólo va a exponer los puertos que especifiques, así que te ahorras capar puertos que no quieras que se accedan desde fuera, tipo bases de datos.

Incluso puedes no dejar ninguno visible, sólo visibles para otros dockers

[…]

Me ha venido a la mente los posibles problemas de seguridad que pueda
haber. Se supone, y según he leído en la documentación de Docker, que
Docker levanta sus propias reglas de firewall para mantener el entorno
aislado, lo cual hace que levantar tus propias reglas de iptables sea
prácticamente inútil e innecesario.

¿Hay algo que necesite saber para mantener el servidor seguro ante
posibles ataques externos?

No es solo la exposición de puertos, hay algunas cosas más, como
volúmenes de datos y posibles problemas de escape del contenedor.

Tenía por ahí un par de artículos en cola para el tema de la seguridad
en contenedores pero no los encuentro, dicho eso, seguro que si haces
una búsqueda por seguridad y Docker te aparece mucho más información,
incluso un libro:

http://www.allitebooks.com/securing-docker/

Salud y Revolución.

Lobo.

Interesante lectura, gracias Rubén!

Este tema se cerró automáticamente 10 días después del último post. No se permiten nuevas respuestas.