Introducción: Docker es el runtime de contenedores de facto para arquitecturas de microservicios modernas, pero su conveniencia puede ocultar brechas de seguridad. Como responsable DevOps necesitas una lista de verificación repetible que convierta un host Docker genérico en una plataforma de producción endurecida. A continuación encontrarás siete consejos prácticos que puedes aplicar hoy, con fragmentos de configuración y comandos explicativos.
1. Usar solo imágenes base verificadas Comienza con imágenes oficiales, firmadas y minimalistas para reducir la superficie de ataque. Alpine, Distroless o Ubuntu-Slim eliminan binarios innecesarios. Usa la insignia oficial de Docker Hub como filtro inicial y habilita Docker Content Trust antes de tirar imágenes: export DOCKER_CONTENT_TRUST=1 luego docker pull alpine:3.18.
2. Ejecutar contenedores como usuarios no root Por defecto los contenedores ejecutan procesos como root dentro del namespace, lo que puede derivar en escalados si hay una fuga. Define un usuario de bajo privilegio en el Dockerfile y fuerza su uso en tiempo de ejecución. Ejemplo Dockerfile simplificado: FROM alpine:3.18 RUN addgroup -S appgroup ; adduser -S appuser -G appgroup USER appuser y en ejecución por si acaso: docker run --user 1000:1000 myimage.
3. Habilitar user namespaces Los user namespaces mapean el UID root del contenedor a un UID poco privilegiado del host, evitando que root del contenedor se convierta en root real del host. Añade en el archivo de configuración del daemon la opción userns-remap: default y reinicia el servicio con systemctl restart docker. Guarda la configuración en /etc/docker/daemon.json con la clave userns-remap y valor default.
4. Aplicar perfiles Seccomp y AppArmor Los módulos de seguridad de Linux permiten restringir syscalls y accesos a ficheros. Docker trae un perfil seccomp por defecto pero puedes ajustarlo para tu carga. Ejecuta con un perfil personalizado: docker run --security-opt seccomp=/etc/docker/seccomp-profile.json myimage. Para AppArmor crea un perfil en /etc/apparmor.d/docker-myapp y cárgalo con apparmor_parser -r /etc/apparmor.d/docker-myapp.
5. Montar sistemas de ficheros en modo solo lectura Si el contenedor no necesita escribir en su propio sistema de ficheros monta la imagen como solo lectura y proporciona volúmenes explícitos para logs o datos temporales: docker run --read-only -v /var/log/myapp:/var/log/myapp:rw myimage.
6. Limitar CPU, memoria y PIDs Los cupos evitan que un contenedor deje sin recursos al host. Usa las opciones --cpus, --memory y --pids-limit: docker run --cpus=1.5 --memory=512m --pids-limit=100 myimage.
7. Escanear imágenes y mantener el motor actualizado Integra escáneres de vulnerabilidades como Trivy o Clair en tu pipeline de CI y programa escaneos nocturnos para imágenes en tu registry privado: trivy image myregistry.com/project/myimage:latest. Automatiza las actualizaciones del motor Docker para recibir parches: apt-get update ; apt-get install -y docker-ce docker-ce-cli.
Bonus: Gestión segura de secretos Nunca incluyas contraseñas ni claves en las imágenes. Usa secretos de Docker Swarm o vaults externos como HashiCorp Vault. Ejemplo con Docker Swarm: printf super_secret | docker secret create db_password - y luego en un servicio docker service create --name db --secret db_password mydbimage.
Monitorización y auditoría Habilita los logs de auditoría de Docker y remítelos a un SIEM central. En daemon.json configura el log driver a json-file y limita tamaño y rotación usando claves log-driver y log-opts con valores como max-size 10m y max-file 5. Recoge estos logs con Filebeat o Fluent Bit para alertas en tiempo real.
Conclusión: Hardenizar Docker no es una tarea puntual sino un hábito de capas defensivas: imágenes confiables, ejecución sin root, aislamiento por namespaces, filtrado de syscalls, ficheros en solo lectura, límites de recursos, escaneo continuo y auditoría constante. Aplica estos siete pasos de forma iterativa para reducir significativamente el riesgo de incidentes relacionados con contenedores.
Sobre Q2BSTUDIO: Somos Q2BSTUDIO, empresa de desarrollo de software y aplicaciones a medida especializada en soluciones personalizadas, inteligencia artificial aplicada, ciberseguridad y servicios cloud. Ofrecemos desarrollo de aplicaciones a medida y software a medida adaptado a los procesos de cada cliente, además de servicios de consultoría en inteligencia artificial e ia para empresas, agentes IA y power bi para visualización y analítica. Si buscas potenciar tus aplicaciones seguras y escalables consulta nuestro servicio de desarrollo de aplicaciones a medida o solicita una auditoría de ciberseguridad y pentesting. Palabras clave integradas: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.