Maßnahmen

Die Erwägung sollte bei der Nutzung von Kubernetes im Raum stehen, sich von Docker als Gesamtes zu distanzieren. Gründe hierfür sehen Sie hier:

-> Docker wird immer kommerziellerer Natur, welche fragwürdige Entscheidungen mit sich ziehen. So sollen in naher Zukunft nicht mehr als 20 Container pro Tag Statusanfragen abgeben können. Ein weiterer Malus wäre hier das Entfernen von nicht genutzten Containern, deren Inaktivitätsdauer zwei Monate übersteigt. Diesem Trend nach ist abzusehen, dass derartige Features hinter Abonnement-Services versteckt werden.

-> Der Docker-Daemon braucht Root-Berechtigungen zur Ausführung, was eine potentielle Sicherheitslücke aufgrund der Root-Berechtigungen für die jeweiligen Nutzerkonten darstellt. So hätte ein nicht ordentlich konfigurierter Docker-Container Zugriff auf das gesamte Host-File-System. Mit den bewährten Methoden können Administratoren dies zwar vermeiden, indem sie beispielsweise nur von vertrauenswürdigen Anbietern ausgestellte Container-Images nutzen, doch bleibt ein Restrisiko immer bestehen.