"Container Security" meliputi perlindungan terhadap container environment dan juga aplikasi yang dijalankan di dalamnya. Secara fungsi, kontainer akan mengemas aplikasi beserta dependensinya, sehinga menawarkan keunggulan terhadap konsistensi di dalamnya. Namun beragam risiko juga ditemukan pada penggunaan kontainer.

1)  Kerentanan pada Image
Container Image dapat memiliki kerentanan yang berasal dari Base Image ketika pertama kali kontainer dibuat. Kerentanan ini dapat dieksploitasi oleh penyerang untuk mengambil alih kontainer, atau bahkan eskalasi ke sistem host-nya.

2) Supply Chain Attack
Mekanisme serangan yang menargetkan berbagai komponen dan proses yang terlibat dalam membangun dan menempatkan kontainer. Penyerang dapat mengambil alih repositori pihak ketiga, kemudian menempatkan malicious code ke dalam dependensi Open-Source yang digunakan oleh kontainer ataupun aplikasi. Bisa juga dengan mengeksploitasi kelemahan dalam pipeline CI/CD.

3) Insecure Configurations
Hal ini kerap ditemukan pada konfigurasi default atau perubahan custom yang ada di kontainer. Umumnya terkait network policy yang terlalu “longgar”, API Management yang ter-ekspose, atau bentuk komunikasi yang tidak ter-enkripsi.

4) Access Control
Pengaturan hak akses sangat penting, namun sering kali penerapan di lapangan tidak ketat. Kebijakan hak akses yang buruk, memungkinkan pengguna yang tidak berwenang untuk mengeksploitasi kerentanan, hingga mengakses data sensitif

1. Pastikan hanya menggunakan repositories resmi dan tepercaya. 

2. Lakukan manual review terhadap image yang dibangun secara custom, terutama jika menggunakan proprietary code atau library pihak ke-tiga.
3. Gunakan vulnerability scanner otomatis untuk mencari kerentanan pada Container Image secara berkala. Bisa juga diintegrasikan dengan pipeline CI/CD. Selain itu secara rutin update image untuk mendapatkan patch dan update keamanan terbaru
4. Membatasi hak akses user dan runtime kontainer sesuai yang diperlukan (RBAC).
5. Jika image yang digunakan container berasal dari public atau open source, gunakan fitur signing untuk mem-validasi keaslian image. 
6. Gunakan namespace untuk meng-isolasi proses dan jaringan antara kontainer. Grup kontrol (cgroups) dapat membatasi penggunaan sumber daya untuk mencegah suatu kontainer mempengaruhi kontainer lainnya.
7. Terapkan network policy untuk mengatur traffic antar kontainer. Contohnya pada Kubernetes memungkinkan untuk mengatur bagaimana pod berkomunikasi satu sama lain.
8. Lakukan pemantauan berkelanjutan untuk mendeteksi perilaku yang tidak normal atau potensi ancaman secara real-time. Proses pemantauan perlu didukung oleh pengelolaan log yang memadai, retensi umur log, dan kecukupan log yang memenuhi standar audit.
9. Mengikuti best practice untuk konfigurasi kontainer, seperti menjalankan kontainer sebagai pengguna non-root dan meminimalkan penggunaan kontainer yang memiliki hak istimewa.