Il traffico tra due container nello stesso ambiente docker deve essere crittografato?
È possibile che un container curiosi nel traffico non crittografato tra due contenitori?
Il traffico tra due container nello stesso ambiente docker deve essere crittografato?
È possibile che un container curiosi nel traffico non crittografato tra due contenitori?
Sebbene dipenda leggermente dalla natura dell'ambiente in uso, nel caso generale direi che probabilmente vorresti crittografare il traffico tra due contenitori.
In una configurazione Docker predefinita (ad esempio, nessuna rete di sovrapposizione di fantasia da considerare), i contenitori comunicano tra loro sul bridge Docker predefinito. Inoltre, per impostazione predefinita, ai contenitori viene assegnato il privilegio NET_RAW, il che significa che tra l'altro possono tentare di eseguire operazioni come gli attacchi di spoofing ARP (ci sono dettagli su questo in questo whitepaper di Jesse Hertz
Quindi, se si utilizzano comunicazioni non crittografate tra 2 contenitori, esiste il rischio che un terzo contenitore malevolo in esecuzione sullo stesso host provi a individuare il traffico tra i due contenitori.
Quanto è realistico tale scenario di minacce, dipenderà interamente dalla tua applicazione.
Come hanno sottolineato altre risposte, è possibile annusare il traffico in una comunicazione da contenitore a contenitore con un terzo contenitore. Tuttavia, anche se sarebbe stato sicuro (ad esempio se ci si fida dell'host e di tutto il suo contenitore) è previsto che tutti i docker possano essere migrati quasi senza soluzione di continuità da un host a un altro.
Anche se questo non è il caso "ora", potrebbe accadere in futuro che vengano effettivamente migrati in macchine diverse, e tu (o peggio, un amministratore diverso che non conosce la logica dell'applicazione) potrebbe non ricordare che il traffico non è crittografato sulla pianificazione di questo.
Leggi altre domande sui tag docker