Новое исследование "Who Contains the Containers?" от исследователя из Google Project Zero с результатом в 4
Данное исследование началось из-за того, что в
Помимо того, как происходило данное исследование и были найдены эти уязвимости вы можете узнать о том, как вообще работает контейнеризация в
Как итог
LPE уязвимости в Windows Server Containers.Данное исследование началось из-за того, что в
Google сообщили об уязвимости, которая позволяет сделать побег из контейнера в GKE, работающем на подсистеме Windows Server Containers. При этом данная подсистема не является по мнению Microsoft никаким security boundary, то есть и проблемы тут не являются уязвимостями и не будут закрываться в рамках security bulletin, а только в следующих major версиях Windows или вообще не будут ...Помимо того, как происходило данное исследование и были найдены эти уязвимости вы можете узнать о том, как вообще работает контейнеризация в
Windows, которая позволяет запускать Kubernetes.Как итог
GKE не рекомендует использовать Windows Server Containers для multi-tenancy сценариев, а другой более безопасный вариант запуска контейнеров через Hyper-V Isolated Containers не поддерживает.