Eu diria que ambos se aplicam. Divida o processo de endurecimento em duas etapas:
-
Uma linha de base, o endurecimento comum que todas as imagens devem aplicar, independentemente de seu uso final.
-
Configuração específica direcionada a um aplicativo (um banco de dados, um servidor da Web, ...)
Crie uma imagem protegida no seu sistema operacional e use um registro local para armazená-la.
Você pode ter dockerfiles
visando aplicativos específicos que criam FROM
a imagem endurecida e aplique restrições adicionais, se necessário.