Segurança de Containers 🛡️

O Dojo da Segurança 🏯

╔═══════════════════════════════════╗
║    SECURITY MATRIX: DEFCON 1      ║
║                                   ║
║    "Proteja seus containers       ║
║     como se o hack dependesse     ║
║     disso... porque depende."     ║
╚═══════════════════════════════════╝

Fundamentos de Segurança 🛡️

Princípios Básicos

Princípio do menor privilégio
Defense in depth
Segregação de responsabilidades
Fail-safe defaults
Economia de mecanismos

Modelo de Ameaças

Ataques de rede
Escalação de privilégios
Vulnerabilidades de imagem
Configurações incorretas
Malware e código malicioso

As Cinco Artes Marciais da Segurança 🥷

1. Namespaces: O Isolamento Perfeito

# O ritual do isolamento
docker run --pid=host --ipc=host nginx
# "Como um monge em sua montanha digital"

Tipos de Namespaces

PID Namespace
Network Namespace
Mount Namespace
UTS Namespace
IPC Namespace
User Namespace

2. Capabilities: O Poder Controlado

# Dropping powers like it's hot
docker run --cap-drop ALL --cap-add NET_BIND_SERVICE nginx
# "Com grandes poderes vêm grandes vulnerabilidades"

Capabilities Essenciais

CAP_NET_BIND_SERVICE
CAP_CHOWN
CAP_DAC_OVERRIDE
CAP_SETGID
CAP_SETUID
CAP_SETFCAP

3. SecComp: O Filtro Místico

{
  "defaultAction": "SCMP_ACT_ERRNO",
  "architectures": ["SCMP_ARCH_X86_64"],
  "syscalls": [
    {
      "names": ["accept", "bind"],
      "action": "SCMP_ACT_ALLOW"
    }
  ]
}

Perfis SecComp Comuns

Default Docker Profile
Custom Restricted Profile
No New Privileges Flag

4. AppArmor: O Escudo Invisível

# Profile de proteção
docker run --security-opt apparmor=docker-default nginx
# "Protegido por forças além da compreensão mortal"

Políticas AppArmor

Controle de acesso a arquivos
Capacidades de rede
Montagem de sistemas de arquivos
Execução de programas

5. SELinux: O Guardião Ancestral

# Modo enforcing ativado
docker run --security-opt label=level:s0:c100,c200 nginx
# "Porque às vezes, paranoia é apenas bom senso"

Contextos SELinux

Processo
Arquivo
Porta
Usuário

Segurança em Camadas 🔒

1. Segurança da Imagem

Imagens base mínimas
Multi-stage builds
Scanning de vulnerabilidades
Versionamento explícito
Políticas de atualização

2. Segurança do Runtime

Limites de recursos
Health checks
Logging e monitoramento
Políticas de reinicialização
Gestão de secrets

3. Segurança da Rede

Redes isoladas
Firewalls internos
TLS mútuo
Service mesh
Network policies

Best Practices: O Caminho do Guerreiro 🗡️

DO's ✅

┌────────────────────────────────┐
│ 1. Minimize a superfície       │
│ 2. Use imagens oficiais        │
│ 3. Scan de vulnerabilidades    │
│ 4. Updates regulares           │
│ 5. Monitore tudo              │
└────────────────────────────────┘

DON'Ts ❌

┌────────────────────────────────┐
│ 1. Nunca use root             │
│ 2. Não ignore warnings        │
│ 3. Evite portas desnecessárias│
│ 4. Não guarde secrets no code │
│ 5. Não confie em ninguém     │
└────────────────────────────────┘

Secrets Management: A Arte do Sigilo 🤫

Vault-chan's Tips

# Gerenciando secrets como um ninja
docker secret create app_secret secret.txt
docker service create --secret app_secret nginx
# "Seus segredos estão seguros comigo, senpai!"

Estratégias de Gestão de Secrets

Docker Secrets
HashiCorp Vault
AWS Secrets Manager
Azure Key Vault
GCP Secret Manager

Container Hardening: A Forja Digital ⚔️

Dockerfile Fortificado

# Base segura
FROM alpine:latest AS builder
RUN adduser -D appuser
USER appuser

# Multi-stage para minimizar superfície
FROM scratch
COPY --from=builder /etc/passwd /etc/passwd
USER appuser

Checklist de Hardening

Usuário não-root
Filesystem read-only
Capabilities mínimas
Seccomp profile
AppArmor/SELinux

Security Scanning: O Olho que Tudo Vê 👁️

Ferramentas de Scanning

Trivy
Clair
Anchore
Snyk
Docker Scan

Trivy: O Scanner Místico

# Invocando o scanner
trivy image nginx:latest
# "Deixe que os olhos do void examinem seu código"

Runtime Protection: A Guarda Eterna ⚡

Falco: O Sentinela

- rule: Terminal shell in container
  desc: A shell was spawned by a container
  condition: container.id != host and proc.name = bash
  output: Shell spawned in a container (user=%user.name container=%container.name)
  priority: WARNING

Ferramentas de Runtime Protection

Falco
Aqua Security
Twistlock
NeuVector
StackRox

Incident Response: O Plano de Batalha 🚨

O Protocolo do Caos

Detectar: "Algo se move nas sombras..."
Conter: "Sele as brechas!"
Erradicar: "Purificação digital!"
Recuperar: "Ressurreição dos sistemas!"

Playbooks de Resposta

Container Compromise
Image Vulnerability
Network Breach
Resource Exhaustion
Privilege Escalation

Compliance e Auditoria 📋

Frameworks de Compliance

CIS Docker Benchmark
NIST Container Security
PCI DSS
HIPAA
SOC 2

Ferramentas de Auditoria

Docker Bench Security
InSpec
Dockle
Lynis
OpenSCAP

Waifu Security Tips 🎮

Laboratório Prático 🔬

Exercício 1: Configuração Básica

Configure um container rootless
Implemente AppArmor profile
Configure network policies
Estabeleça resource limits
Implemente health checks

Exercício 2: Hardening Avançado

Multi-stage build
SecComp profile customizado
SELinux policies
Docker Secrets
Scanning automation

Exercício 3: Monitoramento

Configure Falco
Implemente logging
Setup alerting
Trace syscalls
Analyze metrics

Palavras Finais

Como diria o lendário Security Master: "Na matrix dos containers, não existem sistemas 100% seguros - apenas níveis diferentes de paranoia."

Segurança de Containers 🛡️

O Dojo da Segurança 🏯

Fundamentos de Segurança 🛡️

Princípios Básicos

Modelo de Ameaças

As Cinco Artes Marciais da Segurança 🥷

1. Namespaces: O Isolamento Perfeito

Tipos de Namespaces

2. Capabilities: O Poder Controlado

Capabilities Essenciais

3. SecComp: O Filtro Místico

Perfis SecComp Comuns

4. AppArmor: O Escudo Invisível

Políticas AppArmor

5. SELinux: O Guardião Ancestral

Contextos SELinux

Segurança em Camadas 🔒

1. Segurança da Imagem

2. Segurança do Runtime

3. Segurança da Rede

Best Practices: O Caminho do Guerreiro 🗡️

DO's ✅

DON'Ts ❌

Secrets Management: A Arte do Sigilo 🤫

Vault-chan's Tips

Estratégias de Gestão de Secrets

Container Hardening: A Forja Digital ⚔️

Dockerfile Fortificado

Checklist de Hardening

Security Scanning: O Olho que Tudo Vê 👁️

Ferramentas de Scanning

Trivy: O Scanner Místico

Runtime Protection: A Guarda Eterna ⚡

Falco: O Sentinela

Ferramentas de Runtime Protection

Incident Response: O Plano de Batalha 🚨

O Protocolo do Caos

Playbooks de Resposta

Compliance e Auditoria 📋

Frameworks de Compliance

Ferramentas de Auditoria

Waifu Security Tips 🎮

Laboratório Prático 🔬

Exercício 1: Configuração Básica

Exercício 2: Hardening Avançado

Exercício 3: Monitoramento

Palavras Finais

Recursos Adicionais 📚

Documentação Oficial

Ferramentas

Comunidade