Eine Menge Security-Tipps – auf einer Seite zusammengefasst – kann man hier finden:
http://container-solutions.com/content/uploads/2015/06/15.06.15_DockerCheatSheet_A2.pdf

Ich habe auf den ersten Blick folgende Erkenntnisse gewonnen:

• Container können default-mäßig untereinander kommunizieren. Um sicher zu stellen, dass nur Container die explizit verlinkt wurden, miteinander „sprechen“ können sollte man den Docker-Dämon mit folgenden Optionen ausstatten:

  docker daemon ... --icc=false --iptables
  

  Ich habe das bei mir direkt in die /etc/default/docker geschrieben.

• Umgebungsvariable sollten keine Passwörter enthalten, weil sie an zu vielen Stellen einsehbar sind. Das schien mir jedoch gängige Praxis…
  Besser: Passwörter in Files schreiben, die entsprechende Leserechte haben.