内核漏洞
Docker内核攻击对于容器化环境来说可能是致命性的,因为容器与主机共享相同的系统内核,因此单独信任容器内置保护机制是不够的。
容器的隔离性使得某个应用程序的漏洞不会直接影响到其他容器的应用程序,但是漏洞可能会破坏与其他容器所共享的单一的操作系统,进而影响机器上的其他容器。如果漏洞允许代码执行,那么它将在主机操作系统上执行,而不是在容器内执行;如果此漏洞允许任意内存访问,则攻击者可以更改或读取任何其他容器的任何数据。
数据分离
在docker容器上,有一些非命名空间的资源:
SELinux Cgroups file systems under /sys, /proc/sys, /proc/sysrq-trigger, /proc/irq, /proc/bus /dev/mem, /dev/sd* file system Kernel Modules
如果攻击者可以利用当中的任意一个元素,都将拥有主机系统的操作权限。
资源开销
Docker由于宿主机上的所有容器是共享相同的内核和相同的资源,如果对某些资源(CPU、内存、磁盘等)的访问不受限制,那么异常的容器将占用整个宿主机的资源,从而影响其他容器的运行,影响应用程序。
套接字问题
容器在默认情况下都安装了docker Unix套接字(/var/run/docker.sock),此套接字,可以关闭、启动或者创建新的镜像。
当你的容器启动并共享套接字的时候,你就给了容器操控宿主机的权限,它将可以启动或终止其它容器,在宿主机拖入或创建镜像,甚至写入到宿主机的文件系统。正确配置和保护,可以使用docker容器实现高级别的安全性,但它的安全性还是低于正确配置的VM。
文章参考来源:头条号老王谈运维
虽然,Docker容器还不算完美,但是瑕不掩瑜,它使得业务的上云部署更快,资源利用更高。并且云服务商也在不断完善Docker容器技术在云服务平台的应用。
西部数码的容器云产品是通过docker技术,在云计算集群服务器上部署容器云服务实现,安全可靠,功能强大,可自由选择网络计费方式,可作集群服务,自由搭建私有网络。
高性价比的容器云产品链接 https://www.west.cn/paas/container/
