Actualmente estoy investigando el monitoreo de seguridad en entornos Docker y quiero explorar la posibilidad de utilizar osquery para recopilar actividad de los contenedores, pero he ejecutado en un pequeño dilema de seguridad sobre el que me gustaría reflexionar y comentar:
Ejecutar osquery en cada contenedor de Docker en la infraestructura le daría una excelente conciencia de la situación, pero desafortunadamente no se puede ejecutar osquery en el Alpine Linux , lo que significa que toda la flota de contenedores Docker debería basarse en imágenes mucho más infladas, como Debian o Ubuntu, con una superficie de ataque mucho mayor y posibilidades para un atacante, si obtienen acceso a un contenedor.
¿Es una práctica común colocar osquery en contenedores, o deberían ser tratados como ganado estúpido con una superficie de ataque mínima que puede ser disparada si muestra signos de rareza, y luego tener un monitoreo avanzado en las máquinas anfitrionas de Docker?