云原生技术极大地促进了容器化应用、DevOps、微服务的发展，这使得容器化微服务的规模和迭代速度都被大大增强。然而，这也给云原生环境的安全防护带来了挑战。在多租户隔离、敏感服务加固以及高危漏洞的利用缓解等场景中，传统的安全防护方案不足以更好的解决问题。例如，不是所有的场景都能够使用硬件虚拟化容器进行强隔离，关键业务需要事中安全加固，出现高危漏洞时修复难度大周期长...

本议题将结合攻防视角和业务视角，介绍如何利用Linux Kernel的AppArmor& BPF LSM技术，从0到 1 打造一个既贴近云原生场景又满足安全防护需求的容器沙箱——vArmor。

议题将分享沙箱的设计思路、沙箱与Kubernetes融合的方法以及强制访问控制器（特别是BPF）的实现方法。议题还将以攻击者的视角，通过实际案例（漏洞利用、常见渗透行为）来说明如何利用vArmor对部署在Kubernetes中的微服务进行安全加固。