런타임 보안은 컨테이너가 프로덕션 환경에서 작동할 때의 보안을 말합니다.
배부분의 런타임 보안 취약점은 이미 컨테이너 배포가 끝난 상태에서 발견됩니다.
적절한 런타임 보안 조치는 취약점이 노출되었을 때 들어오는 손상을 최소화하는데 도움을 줍니다.

Least Privilege Principle

• 컨테이너를 실행할 때 가능하다면 root계정이 아닌 계정을 사용하는 것이 좋습니다.
• 호스트의 리소스에 접근할 수 있는 권한을 가진 컨테이너의 실행은 피하는 것이 좋습니다.
• 리눅스의 기능을 사용하여 컨테이너에서 불필요한 권한을 제거하는 것이 좋습니다.

Read-only Filesystems

파일시스템을 read-only 상태로 설정함으로써 악의적인 사용자가 중요한 파일을 변경하거나 컨테이너에 malware를 설치하는 일을 막을 수 있습니다.
--read-only 플래그를 이용해 컨테이너를 읽기 전용으로 만듭시다.
볼륨을 마운트하거나 tmpfs 마운트를 이용해 쓰기 작업을 처리 합시다.
컨테이너는 --read-only옵션을 사용하면 읽기 전용이 되지만 볼륨이나 tmpfs의 경우에는 쓰기 작업이 가능합니다.

Security Scanning and Monitoring

컨테이너를 정기적으로 스캔하여 취약점이 있는지 없는지 확인하는 것이 좋습니다.

Resource Isolation

CPU나 네트워크 같은 컨테이너가 사용하는 리소스에 대해 독립성을 보장하는 것이 좋습니다.

Audit Logs

Audit log를 이용해서 컨테이너의 활동을 기록하면 사고 대응, 문제 해결, 규정 준수에 도움이 됩니다.