关于多租户容器间安全隔离的思考(2)

默认情况下，Kubernetes将为每个节点安排最多110个pod。这是你可以修改的方面，但同样重要的是要注意kubernetes中的默认调度程序是无法识别资源的，我们必须对其进行修复。具体的请参阅上面的“调度程序”那一节，由于默认调度程序的逻辑，集群中的前几个节点会破坏。

甚至谷歌内部也不使用Kubernetes来调度虚拟机，Kubernetes在容器中插入了一些额外的env变量，我们也需要处理这些变量。

如果存在影响隔离的内核零日漏洞，我们该怎么办？

首先，更新内核，但如果内核更新不了，我们可以使用ebpf捕获易受攻击的内核函数，并删除任何试图利用漏洞的容器。

假设我们已经有了可以持续构建内核和应用补丁的系统，则可以考虑威胁模型。大多数情况下，有人会攻击我们的基础架构，因此我们应该确保所有这些服务器在网络上与其余堆栈隔离。

另外一个威胁是我们正在运行的用户名和密码在打开容器之后，黑客会通过VM截取它们。一般来说，容器运行错误时就会发生这种情况。

【编辑推荐】

1. 微隔离不仅是防火墙
2. 小师妹聊一聊安全标准
3. 资产治理成2019安全新宠，“知己”原比“知彼”更难!
4. 积极防御：欺骗如何改变了网络安全
5. AI动态安全守护数据中心

（编辑：ASP站长网）