Все еще можно найти способы вырваться. [Исследовательская суббота]

Контейнеры предлагают скорость, производительность и портативность, но действительно ли они что-то содержат? Хотя они и стараются изо всех сил, общий ядро является тревожной поверхностью атаки: даже одна уязвимость в ядре может позволить контейнерным процессам вырваться и скомпрометировать хост. Это вызвало новую волну инструментов для песочниц, которые используют либо уникальные ядра, легкие виртуальные машины или ядра пользовательского пространства, чтобы отделить хост-ОС от ОС контейнера. Один из таких решений - это Kata Containers, runtime-контейнер, который запускает каждый контейнер внутри легкой виртуальной машины и может функционировать как основной runtime в Docker и Kubernetes. Виртуализированные контейнеры Kata обеспечивают два слоя изоляции: даже если атакующий вырвется из контейнера, он все еще ограничен микро-ВМ. Присоединяйтесь к нам в этом субботнем исследовании, чтобы обсудить исследование с Ювалем Аврахами из Palo Alto Networks Unit 42. Исследование, представленное на Black Hat USA 2020, можно найти здесь: Побег из виртуализированных контейнеров