问与VM (虚拟机)相比，容器突破的可能性

EN

容器在共享操作系统上隔离应用程序，VM在共享硬件上隔离操作系统。有了这些不同的抽象级别，您就有了不同的利用和保护。

成功利用容器的内核级别将影响共享内核，从而影响容器隔离。想想崩溃和幽灵吧。

一个成功的VM驱动程序攻击可能会从VM中突破到运行VM的虚拟机管理程序，我听说过一些类似VM中的软盘驱动程序的漏洞。这些比内核的利用要少得多，所以我会给这里的VM带来好处。

可以将容器运行时更改为在小型VM中拆分容器。像Kata容器这样的项目正在进行这项工作。因此，您可以在获得容器的一些特性的同时获得VM的安全性。

与VM相比，容器确实有一个巨大的不同优势，它们运行在一个极小的环境中，功能降低，seccomp和可选的selinux/apparmor配置。您可以以无法轻松锁定VM的方式锁定该环境，使用只读文件系统，并且不包括攻击者可能需要利用您的系统攻击内核或水平枢轴攻击的任何工具，如shell、解释器和库。

因此，没有明显的赢家。最好的解决方案可能是将两者结合起来，在自己的VM上运行几个具有类似安全性要求的容器。