一是说传统一些攻击手法在容器中可能有效,容易拿到webshell导致数据、文件泄露;
二是容器中的基础软件安全漏洞一样会带来攻击问题,比如恶意中止程序导致频繁重启等
容器虽然作为一种轻量级的虚拟化技术,通过CGroup以及NameSpace实现应用运行环境的隔离,但容器的本质还是去承载应用的运行,与物理机、虚拟机、云主机等环境一样,基于业务的入侵手段在容器环境中依然有效。比如在CVE-2016- 3714漏洞中,黑客依然可以上传一个WebShell,通过权限反弹得到容器控制权,此时一方面可进行应用破坏,另外一方面如果配合上容器逃逸等供给手段,还有可能即可逃逸到宿主机,进而可以获取宿主机上的所有容器的权限,造成更大规模破坏。
收起- 对“ 传统一些攻击手法在容器中可能有效,容易拿到webshell导致数据、文件泄露 ”这类问题,需要对容器平台进行安全加固,并且在访问控制上,对各个角色和用户进行细粒度的控制,譬如对业务应用系统的研发者或应用运维人员,由容器平台提供统一日志平台,不单独提供webshell。
收起