在windows hyper-v容器中运行不受信任的代码

时间:2017-09-04 15:41:14

标签: windows security docker containers hyper-v

Microsoft Docs提到容器提供隔离和安全性。考虑应用程序接受用户代码并在服务器上运行它的场景。因此,如果我们在Windows服务器上的hyper-v容器上托管应用程序,那么我们可以放心,无论用户写什么,它都不会影响我们的应用程序的健康和容器。主办它。

我上周花了很多时间阅读有关容器的Microsoft文档,但还没有找到这个查询的直接答案。直到现在我已经明白我们的主机操作系统不会受到影响。此外,应用程序所做的所有修改都将在沙盒中捕获,因此我们的主机操作系统几乎没有风险。

1 个答案:

答案 0 :(得分:1)

容器隔离具有内核名称间距的应用程序。这意味着应用程序将共享相同的内核,并且在容器内运行的内核级漏洞可以转义该容器并影响主机的其余部分。 Docker允许各种选项将主机的各个部分暴露给容器,因此这取决于您如何运行容器。开箱即用,docker对利用率没有限制,因此您可以通过不受信任的应用程序进行DoS。

容器确实比在同一主机上运行容器外部的所有内容提供更多安全性,但安全性低于每个应用程序启动完全独立的VM时的安全性。您需要确定您需要的安全规模,以及锁定内核和容器环境所需的时间和经验。