Docker容器逃逸的防御方法研究

摘要

Docker作为当下最主流的容器引擎,基于易打包、分发、部署以及快速、轻量的操作系统级虚拟化等特点,被广泛应用于云原生虚拟化环境.然而,由于Docker与宿主机共享内核,具有容易受到容器逃逸的安全风险.攻击者可利用容器逃逸攻击影响到承载容器的底层基础设施的保密性、完整性和可用性.首先对Docker容器逃逸技术进行概述,介绍其含义、根源以及ATT&CK攻防矩阵.接着对Docker容器逃逸的国内外研究现状进行介绍,并提出一套基于容器生命周期的防御方案.该方案具有较好的完备性,可帮助用户用低成本、高效率的方式做好容器逃逸的防御工作.