4.1.1　容器基礎(chǔ)設(shè)施存在的風(fēng)險

在Kubernetes環(huán)境中，容器基礎(chǔ)設(shè)施存在的風(fēng)險與3.1節(jié)的分析對應(yīng)如下：

·鏡像面臨的風(fēng)險與3.1.1節(jié)中的不安全的第三方組件、大肆傳播的惡意鏡像和極易泄露的敏感信息三個方面的分析結(jié)果基本相同，不同之處在于，Kubernetes提供了ConfigMaps和Secrets兩種資源來單獨(dú)存儲常規(guī)配置和敏感信息。因此，在以Kubernetes為平臺的開發(fā)環(huán)境中，將敏感信息打包進(jìn)鏡像的情況可能會減少，但是依然存在。

·活動容器面臨的風(fēng)險與3.1.2節(jié)中的不安全的容器應(yīng)用、不受限制的資源共享和不安全的配置與掛載三個方面的分析結(jié)果基本一致，只不過各種配置要以Kubernetes規(guī)定的YAML格式給出，本質(zhì)無異。

·在沒有特別指定網(wǎng)絡(luò)訪問控制策略的情況下，各Pod之間互通，Kubernetes網(wǎng)絡(luò)存在的風(fēng)險與3.1.3節(jié)的分析結(jié)果基本相似。由于集群通常由多個節(jié)點(diǎn)組成，因此集群網(wǎng)絡(luò)風(fēng)險的影響范圍要比單宿主機(jī)運(yùn)行容器的網(wǎng)絡(luò)風(fēng)險大一些。我們將在4.1.3節(jié)分析Kubernetes網(wǎng)絡(luò)的風(fēng)險。

·容器管理程序接口存在的風(fēng)險應(yīng)在Kubernetes組件接口風(fēng)險的范疇中。目前，Kubernetes+Docker的搭配依然是主流，因此，Docker守護(hù)進(jìn)程的接口風(fēng)險在Kubernetes環(huán)境中仍然存在。值得注意的是，Kubernetes官方團(tuán)隊在v1.20版本的變更日志[1]中公告，未來Kubelet將停止對Docker的支持。在這之后，Kubernetes的應(yīng)用接口風(fēng)險情況可能會發(fā)生變化（去除Docker獨(dú)有的部分）。我們將在4.1.2節(jié)分析Kubernetes自有系統(tǒng)組件的應(yīng)用接口存在的風(fēng)險。

·對于Kubernetes來說，宿主機(jī)操作系統(tǒng)存在的風(fēng)險主要與容器相關(guān)，對于這部分風(fēng)險，我們在3.1.5節(jié)已經(jīng)分析過。

·與容器管理程序接口的情形類似，容器的軟件漏洞應(yīng)被考慮在Kubernetes的軟件漏洞當(dāng)中。但是，在不使用Docker時，情況會發(fā)生變化（去除Docker獨(dú)有的部分）。我們將在4.1.5節(jié)分析Kubernetes自有系統(tǒng)組件的軟件漏洞。

[1] https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.20.md。