本文共 945 字，大约阅读时间需要 3 分钟。

paper: Container Security: Issues, Challenges, and the Road Ahead

容器相比虚拟机有许多优势，容器可以50毫秒启动，虚拟机则需要几十秒，而且在容器在资源占用方面也比虚拟机小很多。现在流行的微服务架构与容器技术完美的结合。

1. 保护容器免受其内部运行的程序的攻击
2. 容器间的保护
3. 保护主机免受恶意容器的攻击
4. 保护容器免受恶意主机的攻击

背景

容器与虚拟机的两点主要区别：

1. 容器共享主机的操作系统内核，而虚拟机拥有自己的操作系统内核
2. 容器启动迅速，而虚拟机启动缓慢

然而，在计算机的世界中，共享就意味着存在被攻击的危险。

基于软件的保护机制

Linux内核特性

namaspace

命名空间为进程提供系统资源的隔离和虚拟化。

资源隔离：限制容器可以看到的东西。

Control Groups

资源限制：控制容器可以使用多少资源。

Capability

将用户权限细分，给进程刚好够用的权限而不是root权限。

Secure Computation Mode(SECCOMP)

过滤系统调用的机制。

Linux 安全模块

基于硬件的保护机制

vTPM

The ten-page introduction to trusted computing 提供了关于可信计算和TPM的细节。

一般认为，使用可信组件构建安全系统。

SGX

其它

[115] 指出unikernels和虚拟机比容器提供了更好的隔离，但是unikernels缺少特权，虚拟机效率低。

[28] 提出容器与虚拟机安全级别相当。

[116] 分析了容器与unikernels在扩展性、隐私、安全性、性能方面的比较。

[104] 提出使用区块链技术验证容器的镜像（容器的很多问题来自于镜像未被验证）。

转载地址：https://blog.csdn.net/yijiull/article/details/106223758 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！