🐳 容器安全 · 合规指南
📚 30 章 · 完整目录
v2.4
1
Docker安全概述
基础
容器安全重要性 · Docker安全模型 · 常见威胁与攻击面
2
Docker守护进程安全
配置
daemon.json · TLS认证 · 限制权限 · 审计日志
3
镜像安全基础
镜像
来源验证 · 签名与信任 · Docker Content Trust
4
镜像漏洞扫描
扫描
Trivy · Clair集成 · 报告解读与修复策略
5
Dockerfile安全最佳实践
构建
最小化基础镜像 · 非root · 多阶段构建 · 减少层数
6
容器运行时安全
运行时
Seccomp · AppArmor · SELinux · Capabilities · 只读FS
7
网络安全与隔离
网络
自定义网络 · 网络策略 · 加密通信 · 端口控制
8
数据安全与存储卷
存储
卷权限 · 加密卷 · 临时文件系统 · 敏感数据管理
9
密钥与凭证管理
密钥
Docker Secrets · 环境变量安全 · 外部密钥服务
10
资源限制与DoS防护
资源
CPU/内存/磁盘限制 · OOM优先级 · cgroups
11
日志与监控安全
监控
日志驱动 · 审计分析 · Prometheus · 告警规则
12
Docker Bench Security
基准
工具安装 · 安全基准测试 · 报告解读 · 自动化修复
13
CIS Docker基准
合规
CIS Benchmark · 关键控制项 · 合规检查 · 持续合规
14
K8s环境Docker安全
Kubernetes
Pod安全策略 · 安全上下文 · 网络策略 · RBAC
15
容器镜像仓库安全
仓库
私有仓库 · 访问控制 · 镜像清理 · 扫描自动化
16
CI/CD流水线安全
DevSecOps
安全扫描集成 · 镜像签名 · 合规门禁 · 供应链安全
17
运行时威胁检测
检测
Falco · 异常行为检测 · 事件响应 · 告警通知
18
容器逃逸防护
逃逸
逃逸原理 · 内核加固 · 用户命名空间 · 安全容器
19
多租户安全隔离
多租户
命名空间隔离 · 资源配额 · 安全上下文 · 租户审计
20
合规框架与标准
合规
GDPR · PCI DSS · HIPAA · SOC2 容器落地
21
安全审计方法论
审计
审计范围 · 证据收集 · 风险评估 · 整改跟踪
22
自动化合规检查
自动化
OpenSCAP · InSpec · Chef Compliance · 自定义脚本
23
容器安全策略即代码
策略
OPA/Gatekeeper · 策略模板 · 测试 · 分发
24
事件响应与取证
取证
容器取证工具 · 日志收集 · 快照分析 · 根因分析
25
Docker Swarm安全
Swarm
Swarm模式安全 · TLS通信 · 服务隔离 · 密钥轮换
26
Windows容器安全
Windows
安全模型 · AD集成 · 安全配置差异
27
边缘与IoT容器安全
边缘
轻量镜像 · 受限网络 · 物理安全 · OTA更新安全
28
供应链安全
供应链
SBOM · 依赖扫描 · 镜像来源验证 · 可信构建
29
灾难恢复与备份
备份
容器备份策略 · 镜像/卷备份 · 恢复演练
30
安全成熟度模型
成熟度
评估框架 · 能力等级 · 改进路线图 · 持续改进