D06/Docker 보안 강화 - 리소스 보호

Docker OWASP TOP10 - Resource Protection
이민석's avatar
Nov 08, 2024
D06/Docker 보안 강화 - 리소스 보호

OWASP(Open Web Application Security Project)은
인터넷 세상에서 발생가능한 가장 중요한 보안 취약점을 정리한 문서입니다.

Overview

D06, D08, D09, D10[1]이 기록되어 있지 않아서 D07을 D06/Resource Protection[2]으로 갈음하였습니다.

Resource Protection

호스트 OS에 따라서 컨테이너의 CPU, MEM, Network, Disk I/O에 특별한 제한사항이 없습니다.

다만 메모리의 경우 OOM[T1]OOM killer[T2]가 있어서 컨테이너 프로세스가 죽을 가능성이 엄연히 존재합니다.
따라서 컨테이너 런타임에 --memory, --memory-swapiness, --memory-reservation[T3] 옵션을 활용할 수 있습니다.

docker run                    \
  --memory="512m"             \
  --memory-swapiness="50"     \ 
  --memory-reservation="256m" \
  <container_id>

Tech. Ref.

  1. [T1] OOM, Out of Memory Management

  2. [T2] Taming the OOM killer

  3. [T3] Resource constraints

OWASP. Ref.

Share article

Unchaptered