Per un server web che gestisce il 100% del traffico in entrata con container Docker è necessario applicare aggiornamenti di sicurezza all'host (diversi dagli aggiornamenti del kernel e Docker)?
Assolutamente sì! Vale la pena leggere questo link che mantiene anche l'opinione che è necessario assicurarsi che l'host sia completamente aggiornato con le ultime versioni dei componenti del software del sistema operativo: link
Concorrenza con Rory re: riduzione della superficie di attacco, ovvero pacchetti host minimi / leggeri installati.
Naturalmente sarebbe utile fornire un esempio di cosa può accadere se non lo fai, anche se una ricerca di CVE dovrebbe ricordarti i problemi relativi ai breakout dei contenitori e come possono essere raggiunti: link
Una guida più approfondita sulla tempra docker può essere trovata qui: link
In generale, è una buona idea applicare qualsiasi patch di sicurezza disponibile per un host in esecuzione. Nel caso di un host Docker, mentre i pacchetti al di fuori della finestra mobile e il kernel potrebbero non essere esposti direttamente, potrebbero entrare in gioco se, ad esempio, un utente malintenzionato ottiene un accesso privilegiato all'host.
Quello che puoi fare è cercare di ridurre il numero di patch che dovrai applicare riducendo il numero di pacchetti installati sull'host.
Se l'host letteralmente sta solo eseguendo container Docker, potresti guardare qualcosa come linuxkit o RancherOS che può creare un'installazione di base ridotta.
Leggi altre domande sui tag docker