[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"question-bezopasnost-konteynerov-kakie-osnovnye-ugrozy-bezopasnosti-konteynerov-sushchestvuyut":3},{"id":4,"slug":5,"topicId":6,"topicSlug":7,"topicName":8,"topicEmoji":9,"question":10,"answer":11,"codeLang":12,"codeSrc":12,"important":12,"commonMistakes":12,"modernUsage":12,"difficulty":13,"tags":14,"related":20,"progress":21,"seo":22},307,"kakie-osnovnye-ugrozy-bezopasnosti-konteynerov-sushchestvuyut",9,"bezopasnost-konteynerov","Безопасность контейнеров","🛡️","Какие основные угрозы безопасности контейнеров существуют?","Угрозы безопасности контейнеров -- это совокупность рисков, возникающих на каждом уровне жизненного цикла контейнеризированного приложения: от сборки образа до работы в продакшене.\n\nПредставьте контейнер как квартиру в многоэтажном доме. Угрозы могут исходить от соседей (другие контейнеры на том же хосте), от поставщиков мебели (зависимости и базовые образы), от незапертых дверей (неправильная конфигурация) и от самого жильца (запущенный процесс).\n\n### Угрозы на уровне образов\n\n- **Уязвимости в базовых образах** -- устаревшие пакеты и библиотеки с известными CVE (Common Vulnerabilities and Exposures). Каждый непропатченный пакет -- потенциальная точка входа для атакующего.\n- **Вредоносные образы** -- использование непроверенных образов из публичных реестров (Docker Hub) может привести к внедрению троянов или бэкдоров.\n- **Утечка секретов** -- пароли, ключи API, сертификаты, случайно включённые в слои образа. Даже если секрет удалён в последующем слое, он остаётся доступен через `docker history`.\n- **Избыточные компоненты** -- лишние утилиты и инструменты (curl, wget, bash) увеличивают поверхность атаки, предоставляя атакующему инструментарий для дальнейшего проникновения.\n\n### Угрозы на уровне среды выполнения (runtime)\n\n- **Побег из контейнера (container escape)** -- эксплуатация уязвимостей ядра Linux для получения доступа к хост-системе. Контейнеры разделяют ядро с хостом, что делает этот вектор особенно опасным.\n- **Запуск от root** -- контейнер с правами root (UID 0) при побеге даёт атакующему root-доступ на хосте.\n- **Привилегированный режим** -- флаг `--privileged` даёт контейнеру полный доступ к устройствам хоста, фактически снимая изоляцию.\n- **Незащищённый Docker socket** -- доступ к `\u002Fvar\u002Frun\u002Fdocker.sock` позволяет управлять всеми контейнерами на хосте, включая создание новых привилегированных контейнеров.\n\n### Угрозы на уровне оркестрации (Kubernetes)\n\n- **Неправильная настройка RBAC** -- избыточные права для сервисных аккаунтов позволяют скомпрометированному поду получить контроль над кластером.\n- **Отсутствие сетевых политик** -- по умолчанию любой под может обращаться к любому другому поду в кластере, что облегчает боковое перемещение (lateral movement).\n- **Незащищённый API-сервер** -- открытый доступ к Kubernetes API без аутентификации позволяет любому управлять кластером.\n- **Компрометация etcd** -- хранилище всех данных кластера, включая секреты в открытом виде (если не настроено шифрование at rest).\n\n### Угрозы на уровне цепочки поставок (supply chain)\n\n- **Подмена зависимостей** (dependency confusion) -- вредоносные пакеты с именами, совпадающими с внутренними библиотеками организации.\n- **Компрометация CI\u002FCD** -- внедрение вредоносного кода через пайплайн сборки (например, подмена шагов в Jenkinsfile или GitHub Actions).\n- **Отсутствие проверки целостности** -- использование образов без верификации подписи не гарантирует, что образ не был подменён.\n\n### Угрозы на уровне сети\n\n- **Man-in-the-middle** -- перехват трафика между контейнерами при отсутствии mTLS.\n- **Незашифрованный трафик** -- передача данных без TLS внутри кластера позволяет перехватить чувствительную информацию.\n- **Эксфильтрация данных** -- несанкционированная отправка данных наружу через незаблокированный egress-трафик.\n\n### Вывод\n\nДля банковских систем особенно критичны: утечка персональных данных (ФЗ-152), утечка платёжных данных (PCI DSS), несанкционированный доступ к финансовым транзакциям. Эшелонированная защита (defense in depth) предполагает применение мер на каждом уровне одновременно.\n\n> **На собеседовании:** обычно ожидают, что кандидат перечислит хотя бы 3-4 категории угроз и приведёт конкретные примеры. Упомяните container escape, запуск от root, утечку секретов в образе и отсутствие Network Policies -- это покажет понимание разных уровней атаки.","","junior",[15,16,17,18,19],"угрозы","kubernetes","attack-surface","container-security","docker",[],null,{"title":23,"description":24,"ogTitle":25,"ogDescription":26,"keywords":27,"schemaAnswer":33,"featuredSnippetReady":34},"Угрозы безопасности контейнеров — 5 категорий рисков Docker и Kubernetes — Gymterview","Основные угрозы контейнеров: уязвимости образов, побег из контейнера, неправильная настройка RBAC, supply chain атаки и перехват трафика. Разбор по категориям.","Угрозы безопасности контейнеров — 5 категорий рисков","Уязвимости образов, побег из контейнера, RBAC, supply chain и сетевые атаки. Полный разбор угроз Docker и Kubernetes для банковских систем.",[28,29,30,31,32],"угрозы безопасности контейнеров","container escape","Docker безопасность","Kubernetes угрозы","supply chain security","Угрозы контейнеров делятся на 5 категорий: уровень образов (уязвимости, вредоносные образы, утечка секретов), уровень runtime (побег из контейнера, запуск от root, привилегированный режим), уровень оркестрации (RBAC, сетевые политики, API-сервер), уровень цепочки поставок (подмена зависимостей, компрометация CI\u002FCD) и уровень сети (MITM, незашифрованный трафик).",true]