一千萬個為什麽

搜索

與VM(虛擬機)相比容器突破的可能性



與VM相比,至少理論上容器的(更高)漏洞究竟是什麽?給定,所有安全建議都已實現(例如,用戶上下文是root,沒有安裝主機敏感卷,調整功能..)。

利用漏洞通過除VM以外的網絡接口來破壞容器有何不同?一個“壞”的TCP包可以強制Docker守護進程創建一個具有root權限的容器嗎?

轉載註明原文: 與VM(虛擬機)相比容器突破的可能性

一共有 1 個回答:

容器隔離了共享操作系統上的應用程序,VM隔離了共享硬件上的操作系統。通過這些不同的抽象級別,您可以獲得不同的漏洞和保護。

對容器的成功內核級漏洞將影響共享內核,從而突破容器隔離。想想崩潰和幽靈。

成功的VM驅動程序漏洞可能會從VM中斷出運行VM的虛擬機管理程序。我聽說過像VMs中的軟盤驅動程序這樣的漏洞。這些比內核漏洞要少得多,所以我在這裏給VM帶來了優勢。

可以更改容器運行時以在小VM中啟動容器。 Kata Containers等項目正在努力解決這個問題。因此,您可以獲得VM的安全性,同時仍然可以獲得容器的一些功能。

與VM相比,容器確實具有巨大的不同優勢。它們在最小的環境中運行,具有降低的功能,seccomp和可選的selinux/apparmor配置。您可以使用只讀文件系統鎖定虛擬環境,並且不包括攻擊者可能需要利用您的系統嘗試的任何工具,如shell,解釋器和庫攻擊內核或水平轉動他們的攻擊。

結果,沒有明顯的贏家。最好的答案可能是兩者的結合,在自己的VM上運行一些具有類似安全要求的容器。