1.3.3 防御者资源与假设条件

文档摘要

1.3.3 防御者资源与假设条件 1.3.3 防御者资源与假设条件：当“最小权限”遇上“容器逃逸”——一个实战工程师的故障排查手记凌晨三点，警报如雷。监控系统推送了一条高危告警：“检测到可疑进程从容器内执行了宿主机命令”。安全团队全员上线，而我，作为平台防御体系的主责工程师，正盯着终端上那行刺眼的日志：这行命令本不该出现在任何容器日志中——我们的Kubernetes集群早已启用Pod Security Admission（PSA），默认策略为，禁止特权容器、禁止挂载敏感路径、禁止使用hostPID/hostNetwork。可现实却狠狠打了我们一记耳光：攻击者不仅执行了宿主机命令，还成功读取了的部分内容。问题出在哪？是我们对“防御者资源”的假设过于理想化了吗？