青藤云安全:简述容器中的主机操作系统风险有哪些?

2019-10-28

前面几篇文章中,我们提到了容器中的镜像风险、编排工具风险、容器风险等内容。今天,我们来看一下容器中的主机操作系统有哪些危险?青藤云安全认为,只有对容器中的安全都熟悉掌握,才能更好的服务于工作和企业健康的发展。

1.攻击面大

每个主机操作系统都有一个攻击面,这是攻击者可以尝试访问和利用主机操作系统各种漏洞的所有方法的集合。例如,任何可访问网络的服务都为攻击者提供了潜在的入口点,增大了攻击面。攻击面越大,攻击者就越有可能找到并利用漏洞,从而导致主机操作系统以及在主机操作系统上运行的容器遭到入侵。

2.共享内核

与通用操作系统相比,容器专用操作系统的攻击面要小得多。例如,容器专用操作系统不包含使通用操作系统用来运行数据库和Web服务器应用的库和软件包管理器。不过,虽然容器提供了功能强大的软件级别的资源隔离功能,但使用共享内核无疑会导致相对于虚拟机管理器甚至容器专用操作系统而言更大的攻击面。换言之,容器运行时提供的隔离级别不像虚拟机管理器所提供的那样高。

3.主机操作系统组件漏洞

所有主机操作系统,甚至是容器专用的操作系统,都提供基本的系统组件,例如用于鉴别远程连接的加密库和用于通用过程调用和管理的内核原语。与其它任何软件一样,这些组件也会有漏洞,而且由于这些组件存在于容器技术架构的底层,所以会影响运行在这些主机上的所有容器和应用。

4.用户访问权限不当

由于交互式用户登录应该很少,因此容器专用操作系统通常没有进行优化,以支持多用户场景。当用户不通过编排层,直接登录到主机来管理容器时,组织机构就会面临风险。直接管理可能造成系统及系统上所有容器产生广泛更改,并有可能让只需要管理特定容器的用户能够影响到许多其它人。

5.篡改主机操作系统文件系统

容器配置不安全可能会让主机中文件被篡改的风险增大。例如,如果允许容器在主机操作系统上装载敏感目录,则该容器就可以更改这些目录中的文件。这些更改可能会影响主机及主机上运行的所有其它容器的稳定性和安全性。

青藤云安全表示,掌握了容器主机操作系统的五大风险,对容器安全会有更深刻的认识。对企业的发展,有更好的促进作用。

开始免费试用青藤产品

申请试用
热线
400-188-9287
青藤官方热线电话服务
咨询