基于业务的入侵手段在容器环境中依然有效，如何解决？

这个主要还是集中在容器镜像定期扫描、漏洞修复、配合监控、审计、及网络隔离等综合进行。

容器虽然作为一种轻量级的虚拟化技术，通过CGroup以及NameSpace实现应用运行环境的隔离，但容器的本质还是去承载应用的运行，与物理机、虚拟机、云主机等环境一样，基于业务的入侵手段在容器环境中依然有效。比如在CVE-2016- 3714漏洞中，黑客依然可以上传一个WebShell，通过权限反弹得到容器控制权，此时一方面可进行应用破坏，另外一方面如果配合上容器逃逸等供给手段，还有可能即可逃逸到宿主机，进而可以获取宿主机上的所有容器的权限，造成更大规模破坏。

• 在容器云安全中，需要和传统安全进行衔接，譬如容器镜像和操作系统。为了避免基础软件安全漏洞，首先是做好容器base image的管理，即打选容器的黄金镜像，通常是在ISO镜像或者各操作系统发行版发行的Base镜像之上添加安全合规基线配置以及预装必要的agent 。 另外， 对容器镜像的Dockfile进行强管控，包括加载中间件、应用部署包，减少非法的文件或软件加载到容器镜像中。

- 对“ 传统一些攻击手法在容器中可能有效，容易拿到webshell导致数据、文件泄露 ”这类问题，需要对容器平台进行安全加固，并且在访问控制上，对各个角色和用户进行细粒度的控制，譬如对业务应用系统的研发者或应用运维人员，由容器平台提供统一日志平台，不单独提供webshell。