容器运行时安全与隔离（2025）

容器运行时安全与隔离（2025）运行时安全依赖内核隔离与策略配置，需要与供应链安全配合。一、隔离与权限namespace：隔离进程与网络与挂载等资源。cgroups：限制资源使用，防止资源争抢与拥塞。二、安全策略seccomp：限制系统调用，降低攻击面。AppArmor/SELinux：基于策略控制访问权限。三、根less 与最小权限根less：以非特权运行容器，降低风险。最小权限：仅授予必要能力与卷与网络访问。注意事项关键词、分类与描述与正文一致；机制与策略为通用与可验证实践。与镜像与供应链安全协同，构建端到端防护。