1.2.1.1 安全性与隔离性保障

文档摘要

1.2.1.1 安全性与隔离性保障 1.2.1.1 安全性与隔离性保障：当规则在容器中“静默失效”——一次生产环境中的 syscall 过滤逃逸复盘与精准修复凌晨两点十七分，告警平台弹出第 7 条事件：某金融核心交易链路的 Kubernetes Pod（）在 120 秒内连续触发、和系统调用——而该容器本应被严格限制为仅允许等 23 个白名单 syscall。更令人脊背发凉的是：这些调用未被阻断，也未生成 seccomp 日志；它们像幽灵一样穿过了本该铜墙铁壁的过滤层，悄然落进内核。这不是误报。这是隔离机制的实质性崩塌。我们花了 4 小时定位到根源——不是规则写错了，不是 Docker 版本有 bug，也不是 Kubernetes 的 seccomp 配置没生效。