📦 با گسترش برنامه‌های کانتینریزه و ابری به عنوان بخش اصلی زیرساخت‌های نرم‌افزاری مدرن، نیاز به درک عمیق و مفهومی از پیامدهای امنیتی آن‌ها هرگز به این اندازه فوری نبوده است.

کتاب امنیت کانتینرها، ویرایش دوم یک بررسی دقیق اما عملی از فناوری‌هایی که از پلتفرم‌های کانتینری پشتیبانی می‌کنند ارائه می‌دهد—که به توسعه‌دهندگان، متخصصان عملیات و کارشناسان امنیتی مدل‌های ذهنی مورد نیاز برای ارزیابی ریسک و افزایش تاب‌آوری را فراهم می‌آورد.

🖋 نوشته لیز رایس، یک مرجع شناخته شده در زمینه امنیت ابری، این ویرایش به‌روز شده بر اصول بنیادین ویرایش اول بنا شده و همزمان تهدیدات در حال تغییر، ابزارهای مدرن و پیشرفت‌ها در پلتفرم‌هایی مانند Kubernetes و Linux را گنجانده است. خوانندگان در این نسخه به درک محکمی از اجزای معماری پشت کانتینرها و ساختارهای اولیه لینوکس که از آن‌ها پشتیبانی می‌کند، دست خواهند یافت و درک سیستماتیکی از تهدیدات و استراتژی‌های کاهش آن‌ها پیدا خواهند کرد.

🔧 بررسی اصول فنی کانتینرها از دیدگاه امنیتی

🔍 ارزیابی ریسک‌ها و دفاع‌های در حال تغییر در پلتفرم‌های زمان اجرای کانتینر و ارکستراسیون

🛠 تحلیل پیامدهای ابزارهای مدرن شامل eBPF و رویکردهای مبتنی بر هوش مصنوعی

💡 استفاده از اصول اساسی برای ارزیابی و تأمین امنیت استقرارهای دنیای واقعی در محیط‌های پویا

📑 فهرست مطالب

• فصل 1: تهدیدات امنیتی کانتینر
• فصل 2: فراخوانی‌های سیستم لینوکس، مجوزها و قابلیت‌ها
• فصل 3: گروه‌های کنترل
• فصل 4: ایزولاسیون کانتینر
• فصل 5: ماشین‌های مجازی
• فصل 6: تصاویر کانتینر
• فصل 7: امنیت زنجیره تأمین
• فصل 8: آسیب‌پذیری‌های نرم‌افزاری در تصاویر
• فصل 9: زیرساخت به‌عنوان کد و GitOps
• فصل 10: تقویت ایزولاسیون کانتینر
• فصل 11: شکستن ایزولاسیون کانتینر
• فصل 12: امنیت شبکه کانتینر
• فصل 13: اتصال ایمن اجزا
• فصل 14: انتقال اسرار به کانتینرها
• فصل 15: حفاظت از زمان اجرای کانتینر
• فصل 16: کانتینرها و OWASP Top 10

👥 برای چه کسانی است این کتاب؟

این کتاب برای شما مناسب است اگر به عنوان یک توسعه‌دهنده، متخصص امنیت، اپراتور یا مدیر به جزئیات چگونگی عملکرد سیستم‌ها علاقه دارید و وقت‌گذرانی در ترمینال لینوکس را دوست دارید.

📝 اگر به دنبال یک راهنمای قدم به قدم برای ایمن‌سازی کانتینرها هستید، این کتاب ممکن است برای شما مناسب نباشد. به این دلیل که من معتقد نیستم که یک روش ثابت و یکسان برای تمام برنامه‌ها در تمام محیط‌ها و سازمان‌ها جواب دهد. در عوض، هدف من این است که به شما کمک کنم بفهمید وقتی برنامه‌ها را در کانتینرها اجرا می‌کنید چه اتفاقی می‌افتد و چگونه مکانیزم‌های امنیتی مختلف کار می‌کنند تا خودتان بتوانید ریسک‌ها را ارزیابی کنید.

🔒 امنیت کانتینرها از ترکیبی از ویژگی‌های هسته لینوکس ساخته شده‌اند. ایمن‌سازی کانتینرها شامل استفاده از همان مکانیزم‌ها است که برای میزبان‌های لینوکسی استفاده می‌شود. این کتاب به شما نحوه عملکرد این مکانیزم‌ها را توضیح می‌دهد و سپس نشان می‌دهد چگونه این‌ها در کانتینرها اعمال می‌شوند.

🖥 تمرکز کتاب عمدتاً روی کانتینرهای لینوکس است که روی میزبان‌های لینوکس اجرا می‌شوند. به رغم اینکه دیگر سیستم‌عامل‌ها وجود دارند، این کتاب بیشتر به لینوکس پرداخته است.

📘 درباره نویسنده

لیز رایس رئیس بخش Open Source در Isovalent است، متخصصان امنیت شبکه و eBPF که پروژه Cilium را راه‌اندازی کرده‌اند. پیش از این، او معاون رئیس‌جمهور مهندسی Open Source در Aqua Security بود، جایی که به پروژه‌های امنیت ابری مانند Trivy، Tracee، kube-hunter و kube-bench پرداخته است. او همچنین رئیس کمیته نظارت فنی CNCF است و در رویدادهای KubeCon + CloudNativeCon 2018 در کپنهاگن، شانگهای و سیاتل co-chair بوده است.

As containerized and cloud native applications become foundational to modern software infrastructure, the need for a deep, conceptual understanding of their security implications has never been more urgent. Container Security, second edition, offers a rigorous yet practical examination of the technologies that underpin container platforms—equipping developers, operations professionals, and security practitioners with the mental models needed to evaluate risk and enhance resilience.

Written by Liz Rice, a recognized authority in cloud native security, this updated edition builds on the foundational principles from the first edition while incorporating today's evolving threat landscape, modern tooling, and advancements in platforms like Kubernetes and Linux. Readers will gain a firm grasp of the architectural components behind containers and the Linux primitives that support them, fostering a systems-level understanding of both threats and mitigation strategies.

• Examine the technical underpinnings of containers through a security-focused lens
• Evaluate evolving risks and defenses across container runtimes and orchestration platforms
• Analyze the implications of modern tooling including eBPF and AI-driven approaches
• Apply core principles to assess and secure real-world deployments in dynamic environments

Table of Contents

Chapter 1. Container Security Threats

Chapter 2. Linux System Calls, Permissions, and Capabilities

Chapter 3. Control Groups

Chapter 4. Container Isolation

Chapter 5. Virtual Machines

Chapter 6. Container Images

Chapter 7. Supply Chain Security

Chapter 8. Software Vulnerabilities in Images

Chapter 9. Infrastructure as Code and GitOps

Chapter 10. Strengthening Container Isolation

Chapter 11. Breaking Container Isolation

Chapter 12. Container Network Security

Chapter 13. Securely Connecting Components

Chapter 14. Passing Secrets to Containers

Chapter 15. Container Runtime Protection

Chapter 16. Containers and the OWASP Top 10

Who This Book Is For

Whether you consider yourself a developer, a security professional, an operator, or a manager, this book will suit you best if you like to get into the nitty-gritty of how things work and if you enjoy time spent in a Linux terminal.

If you are looking for an instruction manual that gives a step-by-step guide to securing containers, this may not be the book for you. I don’t believe there is a one-size-fits-all approach that would work for every application in every environment and every organization. Instead, I want to help you understand what is happening when you run applications in containers and how different security mechanisms work so that you can judge the risks for yourself.

As you’ll find out later in this book, containers are made with a combination of features from the Linux kernel. Securing containers involves using a lot of the same mechanisms as you would use on a Linux host. (I use the term “host” to cover both virtual machines and bare-metal servers.) I lay out how these mechanisms work and then show how they apply in containers. If you are an experienced system administrator, you’ll be able to skip over some sections to get to the container-specific information.

You’ll have noticed that I mentioned Linux a few times already—and yes, there are other operating systems! I’ll mention other OSs once or twice, but this book mostly focuses on Linux containers running on Linux hosts.

I assume that you have some basic familiarity with containers and you have probably at least toyed with Docker or Kubernetes. You will understand terms like “pulling a container image from a registry” or “running a container” even if you don’t know exactly what is happening under the covers when you take these actions. I don’t expect you to know the details of how containers work—at least, not until you have read the book.

What Has Changed in the Second Edition?

In the five years since the first edition of this book was published in 2020, there has been considerable change in the container ecosystem. Later that year, the SolarWinds cyberattack focused attention on the software supply chain, leading to the development of a whole field of supply chain security. The term “GitOps” was first uttered in 2018 and has been widely adopted in the last few years, perhaps because organizations took advantage of “runners” provided by GitHub and other repository platforms in a modern approach to CI/CD. eBPF emerged as the preeminent technology for runtime security tools and for container networking with policy enforcement. Even the fundamentals that underpin containers have evolved: they still use Linux namespaces, but the user namespace is now used quite commonly, rootless containers are a reality, and the ecosystem has moved on to control groups version 2.

The communities around cloud native and containers have helped to spread education about security best practices, so some of the most worrying techniques (like installing packages into a running container) are thankfully much less commonplace than they used to be. They are still included in this book because it’s important that we don’t, as an industry, regress to using these antipatterns!

And perhaps the biggest consolidation since I wrote the first edition: Kubernetes has become firmly established as the dominant orchestrator.

About the Author

Liz Rice is Chief Open Source Officer at Isovalent, the eBPF and network security specialists behind the Cilium project. Previously, she was Vice President of Open Source Engineering with Aqua Security, where she looked after cloud native security projects including Trivy, Tracee, kube-hunter, and kube-bench. She is chair of CNCF’s Technical Oversight Committee and was cochair of the KubeCon + CloudNativeCon 2018 events in Copenhagen, Shanghai, and Seattle.

She has a wealth of software development, team, and product management experience from working on network protocols and distributed systems, and in digital technology sectors such as VOD, music, and VoIP. When not writing code or talking about it, Liz loves riding bikes in places with better weather than her native London, and competing in virtual races on Zwift.