容器逃逸是指攻擊者通過劫持容器化業務邏輯或直接控制等方式,獲得了容器內某種許可權下的命令執行能力。這種能力使得攻擊者可以利用一些手段進一步獲得該容器所在直接宿主機上某種許可權下的命令執行能力。由於Docker等容器技術使用的是隔離技術,容器內的進程無法看到外面的進程,但外面的進程可以看到裡面。因此,如果一個容器可以訪問到外面的資源,甚至是獲得了宿主主機的許可權,這就被稱為「容器逃逸」。
容器逃逸可以分為三層:系統層、服務層、用戶層。系統層主要是指由於核心漏洞導致的容器逃逸問題;服務層主要是指由於運行時漏洞導致的容器逃逸問題;用戶層則是指由於容器實例使用的危險配置、危險掛載導致的容器逃逸。
此外,容器逃逸還涉及到「流氓」容器嘗試突破正常隔離環境限制,藉助一些手段獲得容器所在的直接宿主機、宿主機上的其他容器或集群內其他主機、其他容器的某種許可權下的命令執行能力,進行惡意攻擊或執行越權訪問的行為。