无人驾驶车辆智能行为及其测试与评价所涉及的容器风险

3.4容器风险 3.4.1运行时软件中的漏洞 虽然运行时软件中的漏洞比较少见，但是，如果因为漏洞导致“容器逃逸”等情况的发生， 恶意软件就可以攻击其它容器以及主机操作系统本身的资源，这就特别危险了。攻击者还可 能能够利用漏洞入侵运行时软件本身，然后篡改该软件，从而让攻击者访问其它容器，监控 容器与容器之间的通信等。 3.4.2容器的网络访问不受限制 在大多数容器运行时的默认状态下，各容器都能够通过网络访问其它容器以及主机操作 系统。如果容器被入侵并采取恶意行为，那么，允许存在这种网络流量可能会使环境中的其 它资源面临危险。例如，遭到入侵的容器可以被用于扫描它所连接的网络，以便找到让攻击 者可利用的其它弱点。这种风险与第 3.3.3节中讨论的虚拟网络隔离效果差有关，但也有所 不同，因为它更侧重于从容器流出到其它目的地，而不是应用“相互通信”的情况。 由于容器之间大部分是虚拟化连接，因而，在容器化环境下管理对外网络访问更加复杂。 因此，从一个容器到另一个容器的数据流在网络中可能只显示为封装的数据包，而没有直接 表明其根本来源、目的地或有效载荷。不能感知容器的工具和操作流程无法检查这些该流量， 也无法确定其是否存在威胁。 3.4.3容器运行时配置不安全 容器运行时通常会给管理员提供多种配置选项。容器运行时配置不当会降低系统的相对 安全性。例如，在 Linux容器主机上，经允许的系统调用集通常默认仅限于容器安全运行所 必需的调用。如果该列表被扩大，则被入侵的容器会让其它容器和主机操作系统面临更大风 险。同样，如果容器在特权模式下运行，则可以访问主机上的所有设备，从而让其本质上成 为主机操作系统的一部分，并影响在主机操作系统上运行的所有其它容器。 运行时配置不安全的另一个示例是允许容器在主机上装载敏感目录。容器通常很少会对 主机操作系统的文件系统进行更改，而且几乎不应该更改控制主机操作系统基本功能的位置 （例如，Linux容器的/boot或/etc、Windows容器的 C:\Windows）。如果允许遭到入侵的容 器更改这些路径，那么，也可以被用来提权并攻击主机本身以及主机上运行的其它容器。