超级会员免费看
容器安全与无root运行时的深度解析
1. 容器逃逸风险与应对技术
容器逃逸是指突破主机相对标准的安全控制,其可能产生的危害包括:
- 服务中断 :破坏主机上任意或所有容器的服务,导致服务中断。
- 拒绝服务攻击 :对底层主机发起攻击,引发压力事件,耗尽可用资源,如内存、CPU、磁盘空间或I/O。
- 数据删除 :直接删除主机上本地挂载卷的数据,或擦除关键主机目录,导致系统故障。
- 高级持久威胁(APT)嵌入 :在主机上嵌入可能作为高级持久威胁形式的进程,这些进程可能在一段时间内处于休眠状态,之后被利用。
为了应对这些风险,一些技术应运而生:
- AWS Firecracker :这是一个活跃的开源项目,AWS使用它提供所谓的MicroVMs。它利用KVM,启动时安全是首要任务,引入了多层次隔离以提供深度防御。从性能上看,MicroVMs大约能在八分之一秒内启动。其安全模型是使用cgroups和seccomp BPF对Firecracker进程进行限制,使其只能访问一小部分严格控制的系统调用。不过,容器化服务存在一些限制,例如对不同内核功能的限制,像PTRACE等系统调用会被删除,以防止对其他进程的监控和控制;SMTP服务被禁止,以防止垃圾邮件从函数中发出;移除CAP_NET_RAW功能,使伪造IP地址或使用原始套接字捕获流量变得不可能。
- rkt :CoreOS创建的容器运行时,现已弃用。它使用KVM作为虚拟机
订阅专栏 解锁全文
扫一扫
1688
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
