容器网络内部，由于网络流量不通过物理网卡而在宿主机内部的容器通信， 存在容器虚拟网络间的 DoS 攻击风险。容器网络外部，由于宿主机上的所有容 器共享物理网卡资源，若外部攻击者向某一个目标容器发送大量数据包进行 DDoS 攻击，将可能占满宿主机的网络带宽资源，造成宿主机和其他容器的拒绝 服务。 2.4 路径 3：编排工具攻击 编排工具的工作依赖于容器及容器镜像技术，所以用户在使用编排工具时， 同样会面临容 Protection Platform 云工作负载保护平台 云原生安全威胁分析与能力建设白皮书 65 DAST Dynamic Application Security Testing 动态应用安全测试 DDoS Distributed Denial of Service 分布式拒绝服务 DevOps Development Operation 开发、运营 DevSecO ps Development