[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"question-bezopasnost-konteynerov-chto-takoe-owasp-docker-top-10":3},{"id":4,"slug":5,"topicId":6,"topicSlug":7,"topicName":8,"topicEmoji":9,"question":10,"answer":11,"codeLang":12,"codeSrc":12,"important":12,"commonMistakes":12,"modernUsage":12,"difficulty":13,"tags":14,"related":20,"progress":21,"seo":22},328,"chto-takoe-owasp-docker-top-10",9,"bezopasnost-konteynerov","Безопасность контейнеров","🛡️","Что такое OWASP Docker Top 10?","\u003C!-- grade: -->\n\n**OWASP Docker Top 10** — список десяти наиболее критичных рисков безопасности при использовании Docker, подготовленный OWASP (Open Web Application Security Project). Аналогично знаменитому OWASP Top 10 для веб-приложений, этот документ помогает расставить приоритеты при обеспечении безопасности контейнеров.\n\n**D01 — Secure User Mapping (Безопасное сопоставление пользователей):**\n\nКонтейнеры не должны запускаться от root. Необходимо использовать `USER` в Dockerfile для указания непривилегированного пользователя и `runAsNonRoot: true` в Kubernetes для принудительной проверки.\n\n```dockerfile\nRUN addgroup -S app && adduser -S app -G app\nUSER app\n```\n\nЕсли процесс в контейнере работает от root и атакующий эксплуатирует уязвимость контейнерной изоляции (container escape), он получает root-доступ к хосту.\n\n**D02 — Patch Management Strategy (Стратегия управления патчами):**\n\nРегулярное обновление базовых образов и зависимостей приложения. Включает: автоматическое сканирование образов (Trivy), автоматические PR с обновлениями (Renovate\u002FDependabot), пересборку образов по расписанию и SLA по времени устранения уязвимостей в зависимости от CVSS-балла.\n\n**D03 — Network Segmentation and Firewalling (Сегментация сети):**\n\nПрименение Network Policies в Kubernetes для ограничения сетевого взаимодействия между подами. Принцип deny-by-default: начинать с полного запрета, затем явно разрешать только необходимые коммуникации.\n\n```yaml\napiVersion: networking.k8s.io\u002Fv1\nkind: NetworkPolicy\nmetadata:\n  name: default-deny\nspec:\n  podSelector: {}\n  policyTypes: [Ingress, Egress]\n```\n\nБез Network Policies любой под в кластере может обратиться к любому другому поду — компрометация одного сервиса даёт доступ ко всем остальным.\n\n**D04 — Secure Defaults and Hardening (Безопасные настройки по умолчанию):**\n\nHardening Docker daemon: отключение ICC (`icc: false`), включение user namespace remapping, применение seccomp и AppArmor профилей. Регулярная проверка с помощью CIS Benchmark (Docker Bench for Security).\n\n**D05 — Maintain Security Contexts (Поддержание контекста безопасности):**\n\nНастройка Security Context для каждого пода в Kubernetes: `capabilities.drop: ALL` (удалить все привилегии), `readOnlyRootFilesystem: true` (запретить запись в файловую систему), `allowPrivilegeEscalation: false` (запретить повышение привилегий), `seccompProfile: RuntimeDefault` (ограничить системные вызовы).\n\n**D06 — Protect Secrets (Защита секретов):**\n\nСекреты никогда не должны находиться в образах (Dockerfile), переменных окружения (env) или репозитории Git. Правильные решения: HashiCorp Vault (enterprise-уровень), Sealed Secrets (для хранения зашифрованных секретов в Git), External Secrets Operator (для интеграции с внешними хранилищами).\n\n**D07 — Resource Protection (Защита ресурсов):**\n\nОбязательное ограничение CPU, памяти, PID и disk I\u002FO для каждого контейнера. На уровне namespace: LimitRange (значения по умолчанию) и ResourceQuota (суммарные ограничения).\n\n```yaml\nresources:\n  limits:\n    memory: \"512Mi\"\n    cpu: \"1\"\n  requests:\n    memory: \"256Mi\"\n    cpu: \"250m\"\n```\n\nБез ограничений один контейнер с утечкой памяти или бесконечным циклом может вывести из строя весь хост.\n\n**D08 — Container Image Integrity and Origin (Целостность и происхождение образов):**\n\nПодпись образов с помощью Cosign или Docker Content Trust, верификация подписей при деплое через admission controller (Kyverno, OPA Gatekeeper). Использование только проверенных реестров (private registry), запрет на скачивание образов из публичных источников без проверки.\n\n**D09 — Follow Immutable Paradigm (Неизменяемая парадигма):**\n\nКонтейнеры должны быть неизменяемыми (immutable) после запуска. Read-only файловая система, запрет модификации файлов в runtime. Обновление — это всегда замена контейнера новой версией, а не изменение существующего (не `docker exec` + `apt install`).\n\n**D10 — Logging (Логирование):**\n\nЦентрализованный сбор и анализ логов с помощью ELK\u002FEFK stack (Elasticsearch + Logstash\u002FFluentd + Kibana), аудит действий Docker daemon и Kubernetes API, мониторинг runtime-событий с помощью Falco.\n\n**Чек-лист OWASP Docker Top 10 для банковского проекта:**\n\n```\n[  ] D01: Все контейнеры запускаются от non-root пользователя\n[  ] D02: Настроено автоматическое сканирование и обновление образов\u002Fзависимостей\n[  ] D03: Network Policies применены ко всем namespace-ам, deny-by-default\n[  ] D04: Docker daemon hardened, CIS Benchmark пройден без FAIL\n[  ] D05: Security Context настроен для всех подов (drop ALL, read-only FS)\n[  ] D06: Секреты хранятся в Vault\u002FSealed Secrets, не в Git и не в env\n[  ] D07: Resource limits установлены для всех контейнеров\n[  ] D08: Образы подписаны Cosign и верифицируются при деплое\n[  ] D09: Read-only FS, контейнеры immutable, без ручных изменений\n[  ] D10: Централизованное логирование, Falco для runtime security\n```","","middle",[15,16,17,18,19],"owasp","best-practices","checklist","container-security","docker",[],null,{"title":23,"description":24,"ogTitle":23,"ogDescription":25,"keywords":26,"schemaAnswer":33,"featuredSnippetReady":34},"OWASP Docker Top 10: 10 главных рисков безопасности Docker — Gymterview","Что такое OWASP Docker Top 10? Десять критичных рисков: Secure User Mapping, Patch Management, Network Segmentation, Hardening, Security Contexts, Secrets, Resources, Image Integrity, Immutable, Logging.","OWASP Docker Top 10 — десять критичных рисков безопасности Docker: от управления пользователями и патчами до логирования и неизменяемости контейнеров.",[27,28,29,30,31,32],"OWASP Docker Top 10","Docker безопасность","Docker best practices","контейнерная безопасность чек-лист","D01-D10 Docker","OWASP контейнеры","OWASP Docker Top 10 — список критичных рисков безопасности Docker от OWASP. D01 — Secure User Mapping (не запускать от root); D02 — Patch Management (регулярное обновление); D03 — Network Segmentation (Network Policies, deny-by-default); D04 — Secure Defaults (hardening daemon, CIS Benchmark); D05 — Security Contexts (drop ALL capabilities, read-only FS); D06 — Protect Secrets (Vault, Sealed Secrets); D07 — Resource Protection (limits CPU, памяти, PID); D08 — Image Integrity (подпись Cosign, верификация); D09 — Immutable Paradigm (неизменяемые контейнеры); D10 — Logging (централизованный сбор, Falco).",true]