Скомпрометированный контейнер — это момент истины для всех настроек безопасности: злоумышленник уже внутри, команды выполняются, и дальше важно понять, что действительно ограничит его действия.
В этой статье на одной рабочей нагрузке разбирается, как capabilities, seccomp и AppArmor закрывают разные участки атаки в Kubernetes, где каждый механизм упирается в свои пределы и почему защита контейнеров работает только как набор слоёв.
Разобрать защитуИсточник: Хабрахабр
Источник: kmoseenk (OTUS)
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке