Dipende dalla versione specifica della finestra mobile e dai contenitori in esecuzione. E come stai usando i tuoi contenitori.
Mentre il sogno è che un container è isolato dall'host, ci sono stati momenti in cui è stato scoperto un bug o una vulnerabilità che ha permesso a un container di ottenere l'accesso root al sistema host o, più comunemente, di essere in grado di danneggiare il padrone di casa. Semplici modi per danneggiare l'host:
- Ottenere un contenitore per causare un panico del kernel sull'host.
- Negazione del servizio (ci sono varie risorse che un contenitore può utilizzare per affamare gli altri sistemi dell'host).
- Uno sviluppatore, forse stupidamente, che monta un volume in lettura / scrittura e il contenitore pericoloso che danneggia o oscura qualcosa.
I ruoli dei tuoi contenitori aggiungono anche ulteriori vulnerabilità di sicurezza:
- Supponiamo che un container mobile con un minuscolo proxy sia un'immagine avvelenata. All'improvviso potresti avere un intruso che tiene traccia di tutte le richieste nella rete e determina la tua topologia.
- O forse i tuoi contenitori parlano tra loro su una rete privata criptata e senza autenticazione. Un'immagine avvelenata come livello di uno dei tuoi contenitori personalizzati è la chiave per compromettere l'intero sistema.
- O forse il tuo contenitore docker vault è l'immagine rouge. Ora hai appena inviato le tue chiavi a un contenitore fasullo.