容器与Kubernetes安全：从共享内核到容器逃逸的攻防全景

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

3003 字

8 分钟

容器与Kubernetes安全：从共享内核到容器逃逸的攻防全景

2025-02-21

云安全攻防技术

Kubernetes

/

安全

/

云安全

/

容器

2024年2月，安全研究员在runc中发现了三个容器逃逸漏洞——统称”Leaky Vessels”。其中CVE-2024-21626允许攻击者通过/proc/self/cwd符号链接将容器内的工作目录指向宿主机文件系统，从而突破容器边界。这不是理论推演——runc是几乎所有容器运行时的底层组件，Docker、containerd、Kubernetes全部受影响。

更令人不安的是，这个漏洞的根因是容器安全模型的一个根本性假设：容器通过Namespace和cgroup实现隔离，但共享宿主机内核。只要内核暴露了任何可被利用的接口，容器的隔离边界就可能被突破。

本文将从容器安全模型的前置知识出发，分析容器逃逸的六大路径，深入Kubernetes的攻击面，并构建容器与K8s的纵深防御体系。

一、前置知识：容器隔离模型与信任边界#

1.1 容器不是虚拟机#

这是理解容器安全最重要的前提：

graph TB subgraph "虚拟机（强隔离）" A1["App"] --> B1["Guest OS 独立内核"] B1 --> C1["Hypervisor 硬件级隔离"] C1 --> D1["Host OS"] end subgraph "容器（共享内核）" A2["App"] --> B2["Container Runtime Namespace + cgroup"] B2 --> C2["Host Kernel 共享内核"] C2 --> D2["Host OS"] end style C1 fill:#90EE90 style C2 fill:#FF6B6B

虚拟机通过Hypervisor实现硬件级隔离——每个VM有独立的内核，攻击者需要突破Hypervisor才能逃逸。容器通过Linux Namespace和cgroup实现进程级隔离——所有容器共享宿主机内核，攻击者只需要找到一个内核接口的漏洞就能突破隔离。

隔离维度	虚拟机	容器
内核	独立Guest OS内核	共享Host内核
隔离机制	硬件虚拟化(VT-x/AMD-V)	Namespace + cgroup + Seccomp
逃逸难度	需突破Hypervisor	需突破Namespace（内核漏洞即可）
攻击面	Hypervisor接口	整个Linux内核
资源开销	高（完整OS）	低（共享内核）

核心矛盾：容器的优势（轻量、共享内核）正是其安全劣势的根源。

1.2 Linux Namespace与cgroup#

容器隔离的两大支柱：

1
container_isolation:
2
  # Namespace：资源可见性隔离
3
  namespaces:
4
    - PID: "进程ID隔离——容器内PID 1在宿主机是另一个PID"
5
    - Mount: "文件系统挂载隔离——容器看不到宿主机的挂载点"
6
    - Network: "网络栈隔离——容器有独立的网络接口和路由表"
7
    - User: "用户ID映射——容器内root映射到宿主机非特权用户"
8
    - UTS: "主机名隔离"
9
    - IPC: "进程间通信隔离"
10

11
  # cgroup：资源使用限制
12
  cgroups:
13
    - CPU: "限制CPU使用量"
14
    - Memory: "限制内存使用量"
15
    - PIDs: "限制进程数量"
16
    - Network: "限制网络带宽"
17
    - Devices: "限制可访问的设备"
18

19
  # Seccomp：系统调用过滤
20
  seccomp:
21
    - "限制容器可调用的系统调用"
22
    - "默认配置已阻止约44个危险系统调用"
23
    - "但允许约300+系统调用——攻击面仍然很大"

Namespace提供”看不见”的隔离，cgroup提供”用不了”的限制，Seccomp提供”调不了”的过滤。三者组合构成了容器的安全边界——但这个边界比虚拟机薄得多。

1.3 容器运行时安全模型#

graph TB subgraph "容器安全边界" A["应用进程"] --> B["Namespace隔离"] B --> C["cgroup限制"] C --> D["Seccomp过滤"] D --> E["Capability约束"] E --> F["共享内核"] end subgraph "逃逸路径" G["内核漏洞"] --> F H["Capability滥用"] --> F I["Namespace配置错误"] --> B J["挂载宿主机目录"] --> B K["特权容器"] --> E end style F fill:#FF6B6B style G fill:#FF6B6B style K fill:#FF6B6B

1.4 当前态势：容器逃逸事件时间线#

graph TB subgraph "2019-2022: 内核漏洞驱动" A1["CVE-2019-5736 runc宿主机文件写入"] A2["CVE-2022-0185 cgroup整数溢出逃逸"] A3["CVE-2022-0492 cgroup v1释放逃逸"] end subgraph "2023-2024: 运行时漏洞集中爆发" B1["CVE-2023-0461 UAF导致容器逃逸"] B2["Leaky Vessels CVE-2024-21626/23951 runc工作目录逃逸"] B3["CVE-2024-1086 netfilter UAF提权"] end subgraph "2025-2026: K8s攻击面成为焦点" C1["RBAC过度授权滥用"] C2["Supply Chain: 恶意Helm Chart/Operator"] C3["eBPF滥用: 容器内内核级监控逃逸"] end

关键趋势：容器逃逸从”内核漏洞利用”演变为”多路径组合攻击”——攻击者不再依赖单一CVE，而是组合配置错误、权限滥用、供应链投毒等多种手法。

二、容器逃逸：六大路径#

2.1 路径一：内核漏洞逃逸#

最直接的逃逸方式——利用Linux内核漏洞突破Namespace隔离：

CVE	类型	逃逸机制	影响范围
CVE-2024-21626	runc工作目录泄露	`/proc/self/cwd`指向宿主机FS	所有使用runc的容器
CVE-2024-1086	netfilter UAF	内核double-free提权到root	所有使用netfilter的内核
CVE-2022-0185	cgroup整数溢出	越界写导致Namespace逃逸	cgroup v1内核
CVE-2019-5736	runc文件写入	通过`/proc/self/exe`覆盖runc二进制	所有runc版本

以CVE-2024-21626为例，攻击流程：

graph LR A["攻击者控制容器内进程"] --> B["将WORKDIR设为/proc/self/cwd"] B --> C["runc在宿主机FS上操作"] C --> D["通过符号链接访问宿主机文件"] D --> E["写入SSH公钥或cron任务"] E --> F["获得宿主机root权限"]

防御：及时更新runc/containerd版本；使用Seccomp限制chdir相关系统调用；启用User Namespace将容器内root映射为宿主机非特权用户。

2.2 路径二：特权容器逃逸#

--privileged标志是容器安全的最大敌人：

1
# 特权容器——几乎等于宿主机root
2
privileged_container:
3
  capabilities: "ALL"           # 拥有所有Linux Capability
4
  seccomp: "unconfined"         # 无系统调用过滤
5
  devices: "访问所有设备"        # 可以读写/dev下所有设备
6
  namespaces: "可操作所有Namespace" # 可以进入其他进程的Namespace
7
  apparmor: "unconfined"        # 无AppArmor约束

特权容器中的逃逸手法极其简单：

1
# 方法1: 挂载宿主机磁盘
2
mount /dev/sda1 /mnt
3
echo " attacker-key" >> /mnt/root/.ssh/authorized_keys
4

5
# 方法2: 通过cgroup release_agent
6
mkdir /tmp/cgrp
7
mount -t cgroup -o rdma cgroup /tmp/cgrp
8
mkdir /tmp/cgrp/xx
9
echo 1 > /tmp/cgrp/xx/notify_on_release
10
echo "/tmp/cmd" > /tmp/cgrp/release_agent
11
# 宿主机以root执行release_agent
12

13
# 方法3: 加载内核模块
14
insmod malicious.ko  # 直接在宿主机内核中执行代码

防御：永远不要使用--privileged；按需授予最小Capability集合；使用Pod Security Standards的Restricted策略。

2.3 路径三：危险挂载逃逸#

将宿主机敏感目录挂载到容器中是常见的配置错误：

挂载路径	风险	逃逸方式
`/`	宿主机完整文件系统	直接读写任意文件
`/proc`	内核进程信息	读写`/proc/*/mem`修改进程内存
`/sys`	内核参数	修改内核配置、加载模块
`/dev`	设备文件	读写块设备、挂载磁盘
`/var/run/docker.sock`	Docker守护进程	创建特权容器、访问所有容器
`/etc/kubernetes`	K8s配置	读取管理员凭据、修改配置
`/run/containerd`	containerd套接字	通过containerd控制所有容器

docker.sock挂载是最常见的危险配置——很多CI/CD流水线为了在容器内构建Docker镜像，将宿主机的docker.sock挂载进容器。攻击者一旦进入容器，就可以：

1
# 在容器内通过docker.sock创建特权容器
2
docker run -v /:/host --privileged alpine
3
# 然后在新容器中读写宿主机文件系统

防御：禁止挂载宿主机敏感目录；使用Docker-in-Docker（DinD）替代docker.sock挂载；使用Kaniko/Buildah等无需Docker守护进程的构建工具。

2.4 路径四：Capability滥用#

Linux Capability将root权限拆分为细粒度能力。容器默认只保留部分Capability，但攻击者可以利用已授予的Capability提权：

1
# 容器默认Capability（Docker）
2
default_capabilities:
3
  - AUDIT_WRITE      # 写审计日志
4
  - CHOWN            # 修改文件所有者
5
  - DAC_OVERRIDE     # 绕过文件权限检查
6
  - FOWNER           # 绕过文件属主检查
7
  - FSETID           # 设置SUID位
8
  - KILL             # 发送信号
9
  - MKNOD            # 创建设备文件
10
  - NET_BIND_SERVICE # 绑定1024以下端口
11
  - NET_RAW          # 使用原始套接字
12
  - SETFCAP          # 设置文件Capability
13
  - SETGID           # 修改组ID
14
  - SETUID           # 修改用户ID
15
  - SETPCAP          # 修改进程Capability
16
  - SYS_CHROOT       # chroot
17

18
# 危险Capability（不应在容器中授予）
19
dangerous_capabilities:
20
  - SYS_ADMIN: "mount, pivot_root, namespace操作——几乎等于root"
21
  - SYS_PTRACE: "读写其他进程内存——可注入宿主机进程"
22
  - SYS_MODULE: "加载内核模块——直接在内核执行代码"
23
  - DAC_READ_SEARCH: "绕过目录权限——读取任意文件"
24
  - NET_ADMIN: "修改网络配置——ARP欺骗、路由劫持"

SYS_ADMIN是最危险的Capability——它允许mount、pivot_root、unshare等操作，足以完成容器逃逸。

防御：使用--cap-drop=ALL --cap-add=<仅需要的>最小化Capability；禁止SYS_ADMIN、SYS_PTRACE、SYS_MODULE。

2.5 路径五：应用程序漏洞逃逸#

容器内的应用漏洞可能被利用来执行任意代码，然后结合上述路径完成逃逸：

graph LR A["Web应用RCE漏洞"] --> B["获得容器内代码执行"] B --> C["探测容器环境"] C --> D["发现特权容器/docker.sock/危险Capability"] D --> E["利用配置缺陷逃逸到宿主机"] E --> F["横向移动到其他Pod/Node"]

这是最常见的攻击路径——应用漏洞是入口，配置缺陷是放大器。

2.6 路径六：供应链投毒#

恶意容器镜像或Helm Chart是容器供应链的威胁：

供应链攻击面	攻击方式	案例
恶意基础镜像	Docker Hub上发布含后门的镜像	2025年Docker Hub恶意镜像事件
依赖投毒	在镜像构建过程中植入恶意包	npm/pip供应链投毒
Helm Chart投毒	恶意Chart部署特权Pod	模仿热门Chart
Operator投毒	恶意Operator获取集群级权限	伪造CNCF项目
构建管道投毒	CI/CD管道注入恶意层	上一篇分析的Cache投毒

三、Kubernetes攻击面#

3.1 K8s攻击矩阵#

基于MITRE ATT&CK容器矩阵，K8s的主要攻击技术：

graph TB subgraph "初始访问" A1["暴露的API Server"] A2["暴露的kubelet"] A3["恶意镜像"] A4["应用漏洞"] end subgraph "执行" B1["kubectl exec"] B2["恶意Pod部署"] B3["命令注入"] end subgraph "持久化" C1["RBAC后门"] C2["CronJob"] C3["Mutating Webhook"] C4["etcd直接写入"] end subgraph "权限提升" D1["特权Pod"] D2["ServiceAccount Token"] D3["Node/Pod绑定"] end subgraph "横向移动" E1["Pod间网络扫描"] E2["ServiceAccount复用"] E3["云元数据访问"] end A1 --> B1 A4 --> B3 B1 --> C1 B2 --> D1 D1 --> E1 E3 --> F["云资源接管"]

3.2 API Server安全#

API Server是K8s的控制平面入口，也是攻击者的首要目标：

1
api_server_security:
2
  # 认证
3
  authentication:
4
    - "禁止匿名访问: --anonymous-auth=false"
5
    - "使用OIDC集成企业身份"
6
    - "禁用客户端证书以外的认证方式（按需）"
7

8
  # 授权（RBAC）
9
  authorization:
10
    - "始终使用RBAC: --authorization-mode=RBAC"
11
    - "禁止ABAC: 不使用--authorization-mode=ABAC"
12
    - "最小权限原则: 避免cluster-admin过度授权"
13

14
  # 准入控制
15
  admission_control:
16
    - "启用NodeRestriction: 限制kubelet仅操作自身Node的Pod"
17
    - "启用PodSecurity: 强制Pod Security Standards"
18
    - "启用ResourceQuota: 限制资源使用"
19
    - "部署OPA/Gatekeeper: 自定义准入策略"
20

21
  # 网络暴露
22
  network:
23
    - "API Server不应暴露在公网"
24
    - "使用VPN或跳板机访问"
25
    - "启用审计日志: --audit-log-path"

3.3 RBAC：权限管理的双刃剑#

RBAC是K8s权限管理的核心，也是最常见的配置错误来源：

1
# 危险RBAC配置示例
2
dangerous_rbac:
3
  # 反模式1: 过度授权cluster-admin
4
  - subject: "所有开发者"
5
    role: "cluster-admin"
6
    risk: "等同于集群root权限"
7

8
  # 反模式2: 通配符权限
9
  - apiGroups: ["*"]
10
    resources: ["*"]
11
    verbs: ["*"]
12
    risk: "对所有资源的所有操作权限"
13

14
  # 反模式3: Secret读取权限
15
  - apiGroups: [""]
16
    resources: ["secrets"]
17
    verbs: ["get", "list"]
18
    risk: "可读取所有Secret（含数据库密码、API密钥）"
19

20
  # 反模式4: Pod执行权限
21
  - apiGroups: [""]
22
    resources: ["pods", "pods/exec"]
23
    verbs: ["create", "get"]
24
    risk: "可在任何Pod中执行命令"
25

26
  # 反模式5: Pod创建+特权
27
  - apiGroups: [""]
28
    resources: ["pods"]
29
    verbs: ["create"]
30
    risk: "可创建特权Pod逃逸到宿主机"

RBAC权限提升的经典路径：

3.4 Pod安全：从SecurityContext到Pod Security Standards#

K8s的Pod安全经历了从PodSecurityPolicy（PSP，已废弃）到Pod Security Standards（PSS）的演进：

1
# Pod Security Standards三个级别
2
pod_security_standards:
3
  # Privileged: 不限制——危险
4
  privileged:
5
    - "允许特权容器"
6
    - "允许所有Capability"
7
    - "允许挂载宿主机路径"
8
    - "仅用于系统组件"
9

10
  # Baseline: 禁止明显危险的配置
11
  baseline:
12
    - "禁止特权容器"
13
    - "禁止危险Capability（SYS_ADMIN等）"
14
    - "禁止hostPath挂载"
15
    - "禁止hostNetwork/hostPID/hostIPC"
16
    - "禁止修改Seccomp配置"
17

18
  # Restricted: 严格限制——推荐
19
  restricted:
20
    - "必须以非root运行"
21
    - "必须丢弃所有Capability"
22
    - "必须启用SeccompProfile"
23
    - "必须设置readOnlyRootFilesystem"
24
    - "必须设置runAsNonRoot"

1
# Restricted Pod安全配置示例
2
apiVersion: v1
3
kind: Pod
4
metadata:
5
  name: secure-pod
6
spec:
7
  securityContext:
8
    runAsNonRoot: true
9
    runAsUser: 1000
10
    fsGroup: 2000
11
    seccompProfile:
12
      type: RuntimeDefault
13
  containers:
14
    - name: app
15
      image: app:latest
16
      securityContext:
17
        allowPrivilegeEscalation: false
18
        readOnlyRootFilesystem: true
19
        capabilities:
20
          drop: ["ALL"]
21
      volumeMounts:
22
        - name: tmp
23
          mountPath: /tmp
24
  volumes:
25
    - name: tmp
26
      emptyDir: {}

3.5 网络策略：微隔离的实现#

默认情况下，K8s中所有Pod可以互相通信——这在生产环境中是不可接受的：

1
# 默认拒绝所有入站流量
2
apiVersion: networking.k8s.io/v1
3
kind: NetworkPolicy
4
metadata:
5
  name: default-deny-ingress
6
  namespace: production
7
spec:
8
  podSelector: {}  # 匹配所有Pod
9
  policyTypes:
10
    - Ingress
11

12
---
13
# 仅允许特定服务的流量
14
apiVersion: networking.k8s.io/v1
15
kind: NetworkPolicy
16
metadata:
17
  name: allow-frontend-to-api
18
  namespace: production
19
spec:
20
  podSelector:
21
    matchLabels:
22
      app: api-server
23
  policyTypes:
24
    - Ingress
25
  ingress:
26
    - from:
27
        - podSelector:
28
            matchLabels:
29
              app: frontend
30
      ports:
31
        - port: 8080

3.6 Secret管理#

K8s原生Secret是Base64编码（不是加密），etcd中明文存储：

1
# K8s Secret的安全问题
2
secret_risks:
3
  默认行为:
4
    - "Base64编码 ≠ 加密"
5
    - "etcd中明文存储"
6
    - "任何有读取权限的人可解码"
7
    - "节点上的Secret写入tmpfs（但可被同一节点Pod读取）"
8

9
  加固措施:
10
    - "启用etcd加密: --encryption-provider-config"
11
    - "使用外部密钥管理: HashiCorp Vault / AWS Secrets Manager"
12
    - "使用CSI Secrets Driver: 从外部KMS注入Secret"
13
    - "限制RBAC: 仅授权必要的Secret读取权限"
14
    - "审计Secret访问: 启用API审计日志"

四、容器运行时安全#

4.1 运行时威胁检测#

容器运行时安全工具监控容器行为，检测异常活动：

1
runtime_security:
2
  # 检测能力
3
  detection_capabilities:
4
    进程异常:
5
      - "容器内启动非预期进程（如反向Shell）"
6
      - "特权提升操作（如sudo、su）"
7
      - "异常的子进程（如Web服务器启动bash）"
8

9
    文件异常:
10
      - "写入非预期路径（如/etc、/usr/bin）"
11
      - "修改二进制文件"
12
      - "创建SUID文件"
13

14
    网络异常:
15
      - "非预期的出站连接"
16
      - "连接到元数据服务（169.254.169.254）"
17
      - "DNS隧道行为"
18
      - "端口扫描"
19

20
    系统调用异常:
21
      - "execve调用非预期二进制"
22
      - "mount/umount操作"
23
      - "keyctl操作（读取内核密钥环）"
24
      - "bpf系统调用（加载eBPF程序）"
25

26
  # 主流工具
27
  tools:
28
    - name: Falco
29
      type: "内核模块/eBPF"
30
      features: ["规则引擎", "SIEM集成", "K8s Audit Log"]
31

32
    - name: Tetragon
33
      type: "eBPF"
34
      features: ["内核级过滤", "低开销", "实时追踪"]
35

36
    - name: Tracee
37
      type: "eBPF"
38
      features: ["系统调用追踪", "容器感知", "签名检测"]

4.2 eBPF：安全监控的新范式#

eBPF（Extended Berkeley Packet Filter）正在改变容器运行时安全的格局——它可以在内核态运行沙箱程序，无需修改内核源码：

graph TB subgraph "传统方式" A1["内核模块"] --> B1["高权限 可能崩溃内核"] A1 --> C1["性能开销大"] end subgraph "eBPF方式" A2["eBPF程序"] --> B2["沙箱执行 验证器保证安全"] A2 --> C2["极低性能开销"] A2 --> D2["动态加载 无需重启"] end style B1 fill:#FF6B6B style B2 fill:#90EE90

但eBPF也是双刃剑——攻击者也可以利用eBPF进行内核级监控和攻击：

1
ebpf_dual_use:
2
  # 防御者使用
3
  defender:
4
    - "Falco/Tetragon: 运行时安全监控"
5
    - "Cilium: 网络策略执行"
6
    - "进程追踪: 检测异常系统调用"
7

8
  # 攻击者使用
9
  attacker:
10
    - "内核级Rootkit: 隐藏进程和文件"
11
    - "网络嗅探: 捕获容器间流量"
12
    - "凭据窃取: 追踪read/write系统调用"
13
    - "绕过Seccomp: eBPF不受Seccomp限制"

五、纵深防御体系#

5.1 容器安全全生命周期#

graph LR subgraph "构建时" A1["基础镜像扫描"] A2["依赖漏洞检测"] A3["镜像签名"] end subgraph "部署时" B1["准入控制"] B2["Pod Security Standards"] B3["RBAC最小权限"] end subgraph "运行时" C1["运行时监控"] C2["网络策略"] C3["Secret加密"] end subgraph "响应时" D1["Pod隔离"] D2["取证快照"] D3["凭据轮换"] end A1 --> B1 B1 --> C1 C1 --> D1

5.2 构建时安全#

1
build_time_security:
2
  # 镜像安全
3
  image_security:
4
    - "使用最小基础镜像: distroless / alpine"
5
    - "固定镜像版本: 使用SHA256而非tag"
6
    - "镜像扫描: Trivy / Grype / Snyk Container"
7
    - "镜像签名: cosign / Docker Content Trust"
8
    - "多阶段构建: 构建依赖不出现在最终镜像"
9

10
  # 供应链安全
11
  supply_chain:
12
    - "SBOM生成: Syft / spdx"
13
    - "SLSA合规: 构建完整性验证"
14
    - "私有Registry: 避免直接从Docker Hub拉取"
15
    - "镜像拉取策略: Always + digest验证"

5.3 部署时安全#

1
deploy_time_security:
2
  # 准入控制
3
  admission_control:
4
    - "Pod Security Standards: enforce=restricted"
5
    - "OPA/Gatekeeper: 自定义策略（禁止hostPath等）"
6
    - "Kyverno: 策略引擎（自动修复配置）"
7
    - "镜像验证: 仅允许签名镜像"
8

9
  # RBAC
10
  rbac:
11
    - "最小权限: 按需授权，禁止通配符"
12
    - "命名空间隔离: 不同环境不同权限"
13
    - "定期审计: 检查过度授权的RoleBinding"
14
    - "ServiceAccount: 每个Pod独立SA，禁用默认SA的automountServiceAccountToken"
15

16
  # 网络策略
17
  network_policy:
18
    - "默认拒绝: 所有命名空间default-deny"
19
    - "白名单: 仅允许必要的Pod间通信"
20
    - "出口控制: 限制Pod的出站流量"
21
    - "DNS策略: 限制DNS查询范围"

5.4 运行时安全#

1
runtime_security_defense:
2
  # 容器运行时
3
  container_runtime:
4
    - "gVisor: 用户态内核，强隔离"
5
    - "Kata Containers: 轻量VM，硬件级隔离"
6
    - "Seccomp: 自定义系统调用过滤"
7
    - "AppArmor: 强制访问控制"
8

9
  # 监控
10
  monitoring:
11
    - "Falco: 运行时异常检测"
12
    - "Tetragon: eBPF内核级监控"
13
    - "K8s Audit Log: API调用审计"
14
    - "Prometheus + Alertmanager: 指标异常告警"
15

16
  # Secret管理
17
  secret_management:
18
    - "etcd加密: EncryptionConfiguration"
19
    - "外部KMS: Vault / AWS Secrets Manager"
20
    - "CSI Driver: 按需注入Secret"
21
    - "Secret轮换: 自动化定期轮换"

5.5 防御层对照表#

防御层	针对威胁	实现方式
镜像扫描	恶意镜像/已知漏洞	Trivy/Grype CI集成
镜像签名	供应链投毒	cosign + admission验证
Pod Security Standards	特权容器/危险挂载	PSS enforce=restricted
RBAC最小权限	权限提升/横向移动	按需授权 + 定期审计
NetworkPolicy	Pod间横向移动	默认拒绝 + 白名单
运行时监控	容器逃逸/异常行为	Falco/Tetragon
gVisor/Kata	内核漏洞逃逸	强隔离运行时
Secret加密	凭据窃取	etcd加密 + 外部KMS
审计日志	权限滥用/攻击溯源	API Audit + SIEM

六、我的思考#

6.1 共享内核是容器安全的根本矛盾#

容器的优势——轻量、快速启动、高密度部署——全部来自共享内核。但共享内核意味着容器的隔离边界本质上是”软隔离”——不是硬件级的墙，而是内核代码实现的规则。只要内核有bug，规则就可能被绕过。

gVisor和Kata Containers试图解决这个矛盾——gVisor用用户态内核替代共享内核，Kata用轻量VM实现硬件隔离。但两者都有性能和兼容性代价。在2026年，大多数生产环境仍然使用runc + 共享内核，这意味着容器逃逸风险将持续存在。

6.2 K8s的”默认不安全”需要改变#

K8s的默认配置是”功能优先”——所有Pod可以互相通信、默认ServiceAccount自动挂载Token、RBAC策略宽松。这在开发阶段方便，但在生产环境中是灾难。

Pod Security Standards从PSP演进而来，但enforce=restricted仍然不是默认值。K8s社区需要在安全与易用之间做出选择——而历史表明，“默认安全”是唯一可持续的选择。

6.3 容器逃逸不是终点，而是起点#

容器逃逸获得宿主机权限后，攻击者的下一步通常是：

读取/etc/kubernetes下的管理员凭据
通过IMDS（169.254.169.254）获取云平台临时凭证
使用云凭证接管整个云环境

这意味着容器安全不是孤立的——它是云安全链条中的一环。上一篇分析的供应链投毒可以植入恶意镜像，本篇分析的容器逃逸可以从恶意镜像到达宿主机，下一篇将分析的云IAM滥用可以从宿主机到达云资源。攻防是一个连续的链条。

6.4 eBPF是容器安全的未来，也是新的攻击面#

eBPF正在成为容器运行时安全的基础设施——Falco、Tetragon、Cilium都依赖eBPF。但eBPF的CAP_BPF/CAP_SYS_ADMIN权限要求意味着只有特权进程才能加载eBPF程序。攻击者一旦获得这些权限，也可以利用eBPF实现内核级Rootkit——这种Rootkit比传统内核模块更难检测，因为eBPF程序经过验证器验证，被认为是”安全的”。

七、总结#

容器与Kubernetes安全的核心挑战是：共享内核的隔离模型本质上比虚拟机弱，而K8s的默认配置倾向于易用而非安全。攻击者从应用漏洞进入容器，利用配置缺陷逃逸到宿主机，再通过云元数据到达云资源——这是一条完整的攻击链。

2026年的容器安全需要四个转变：

从默认开放到默认拒绝——Pod Security Standards enforce=restricted、NetworkPolicy默认拒绝、RBAC最小权限
从静态扫描到运行时监控——镜像扫描只解决已知漏洞，运行时监控才能发现未知攻击
从软隔离到强隔离——对高价值工作负载使用gVisor/Kata Containers，不依赖共享内核
从单点防御到链条防御——容器安全不是孤立的，需要与供应链安全、云IAM、事件响应联动

下一篇将分析云身份与权限管理——当攻击者从容器逃逸到宿主机，云IAM如何成为他们下一个目标，以及如何成为防御者的第一道防线。

参考来源：CVE-2024-21626 (runc working directory leak), MITRE ATT&CK Container Matrix, Kubernetes Pod Security Standards, Falco/Tetragon运行时安全文档.