米国シアトルで開催されたDockerCon 2016でAaron Grattafiori氏が，“The Golden Ticket: Docker and High Security Microservices”と題したプレゼンテーションを行なった。コンテナベースのマイクロサービスのセキュアな運用のために氏が強く推奨したのは，ユーザネームスペースの有効化，アプリケーション固有のAppArmorあるいはSELinuxの設定，アプリケーションの特性に合わせたseccompホワイトリストの使用，ホストシステムの強化(ミニマルOSの実行を含む)，ホストアクセスの制限，ネットワークセキュリティの考慮などだ。 NCC Groupでテクニカルディレクタを務め，“Understanding and Hardening Linux Containers” (PDF)の著者でもあるGrattafiori氏の講

Dockerとは コンテナベースのアプリケーションを仮想化したもの。軽量なVMの様に見えるがこれまでの(VirtualBoxなど)VMでは実現が難しい、不可能であったユースケースを解決してくれる。 ホストOSとリソースを共有するのでリソースの管理がVMより効率的 基本的に状態を持たないのでポータビリティが非常に高く、特定の環境に依存することがない 軽量なのでVMと比較し複数のインスタンスを実行することができる DockerHubなどのレジストリを利用することで既存のイメージをダウンロードして実行することができる コンテナとVM VM VMはハイパーバイザを通してホストOSに対してのシステムコールを解釈させるなどの必要がある それぞれのVMには全て独立したOS・アプリケーション・ライブラリが必要 コンテナ ホストのカーネルは実行されるコンテナと共有される（コンテナは常にホストと同じカーネルを