🔭컨테이너 이미지 보안을 위한 Dockerfile 작성 팁 5가지

안녕하세요 구독자님, DevOps 소식과 기술 지식을 정리해서 공유해드리는 DevOps 여행을 위한 소식지입니다.

Docker 이미지는 애플리케이션이 동작할 수 있는 독립된 환경을 제공해서 이미 많은 개발자가 사용하고 있는데요.

이미 누군가 만들어둔 Docker 이미지를 사용하기도 하지만, 직접 Dockerfile을 작성해서 Docker 이미지를 빌드하는 경우도 많죠.

더욱 안전한 Docker 이미지를 제작할 수 있는 Dockerfile 작성 팁이 있다는 사실, 알고 계셨나요?

⚠️Dockerfile을 작성할 때 보안에 신경써야 하는 이유

Dockerfile을 작성할 땐 보안을 고려해야 침해 사고를 미리 방지할 수 있습니다.

오늘날 대부분의 웹 서비스는 마이크로서비스 아키텍처를 따르고 있습니다. 하나의 커다란 서비스를 배포하는 것이 아닌, 기능이나 성격에 따라 나눠진 작은 서비스 여러 개를 배포 및 운영하는 방식을 마이크로서비스 아키텍처라고 하는데요.

이때 마이크로서비스를 각각의 Docker 컨테이너 내부에서 동작하도록 구성하는 것이 일반적입니다. 하지만 이렇게 실제로 배포된 컨테이너 이미지가 외부 공격에 취약하다면... 생각만 해도 아찔한 보안 사고로 이어지겠죠.

그래서 우리는 Dockerfile을 작성할 때부터 보안에 신경써야 합니다.

🔒더욱 안전한 이미지를 만드는 Dockerfile 작성 팁 5가지

그렇다면 Dockerfile을 어떻게 작성해야 할까요? 여기 보안에 강한 Dockerfile 작성 팁 5가지를 소개해드립니다.

Multi-Stage 방식으로 빌드

필요없는 패키지 제거

Root가 아닌 별도의 사용자를 생성 및 사용

Container 내 민감한 파일들은 Read Only로

Shell 접근 제거

🔎컨테이너 보안을 지킬 수 있는 또다른 방법

지금까지 Dockerfile을 작성할 때 보안성을 높이는 방법에 대해 알아봤는데요. 만약 Docker 이미지를 직접 빌드하는 경우가 아닌, 이미 누군가 제작한 Docker 이미지를 사용할 때 그 이미지가 안전한지는 어떻게 알 수 있을까요?

이럴 때 사용할 수 있는 방법이 바로 컨테이너 보안 스캐닝입니다. 대표적인 컨테이너 보안 스캐닝 툴로는 Trivy와 Clair가 있는데요.

컨테이너 이미지 보안 스캐닝에 대해서는 지난 소식지에서 다룬 적이 있기 때문에 혹시 관심 있으시다면 아래 링크에서 확인해보세요.😊

🔭마치며...

오늘은 컨테이너 이미지 보안을 위한 Dockerfile 작성 팁 5가지와 컨테이너 보안 스캐닝에 대해 다뤄봤는데요. 

혹시 이번 내용 관련해서 더 궁금한 점이 있으시다면 아래 메일리 댓글 남겨주세요.😀

그럼, 다음 소식지에서 보다 알차고 흥미로운 내용으로 찾아뵙겠습니다.

오늘도 감사합니다, 구독자님 😺

🔗References

이번 소식지 내용은 어떠셨나요? 소식지를 더 나은 방향으로 개선하기 위해 아래 폼에서 1~2분 정도면 끝나는 짧은 피드백을 받고 있어요.👇

https://forms.gle/jjkvp9htV3atYLHG8

여러분들의 소중한 의견에 항상 감사합니다!

본 소식지를 아카이빙하고 다양한 정보를 공유하는 블로그도 운영 중입니다 :)

🔭Aiden's Lab 둘러보기