Containers isoleren: een overzicht van sandbox container technologie

Traditionele containers zoals docker, Linux Containers (LXC) en Rocket (rkt) zijn niet echt sandboxed omdat ze de host-OS-kernel delen. Ze zijn efficiënt in resources, maar het aanvalsoppervlak en de potentiële impact van een doorbaak is nog steeds te groot, vooral in een cloudomgeving met meerdere afnemers waar containers van verschillende klanten zich op dezelfde locatie bevinden.

De meerderheid van de IT-industrie gaat over op cloud-native oplossingen, daarom is het absoluut noodzakelijk om de beperkingen van deze technologie te begrijpen. Er is onderzoek gedaan en er zijn ontwikkelingen geweest voor het creëren van echte sandboxed-containers. De meeste oplossingen passen de grens tussen de applicaties aan om de isolatie te versterken.

Onsderstaande blog in PDF en op deze website behandelt vier unieke projecten die verschillende technieken gebruiken om hetzelfde doel te bereiken. IBM Nabla bouwt containers bovenop Unikernels, Google gVisor maakt een gespecialiseerde gast-kernel voor het draaien van containers, Amazon Firecracker is een uiterst lichte hypervisor voor sandbox-toepassingen en OpenStack plaatst containers in een gespecialiseerde Virtual Machine (VM) die geoptimaliseerd is voor container-beheerplatformen.

Het overzicht van dit state-of-the-art onderzoek zou de lezer moeten helpen zich voor te bereiden op de aankomende transformatie.

Door: Jay Chen, Senior Cloud Vulnerability & Exploit Researcher bij Palo Alto Networks

Containers_geisoleerder maken.pdf