Zero
Aziende di amore contenitori, perché permettono loro di eseguire più lavori sul server. Ma anche le imprese odio contenitori, perché hanno paura di sei meno sicuro di macchine virtuali (VM)s. IBM pensa che non è una risposta: Nabla contenitori, che sono più sicuri di design che la rivale contenitore di concetti.
James Bottomley, un IBM Research distinto ingegnere e sviluppatore del kernel Linux, la prima bozza che ci sono due tipi fondamentali di contenitore e di macchina virtuale (VM) problemi di sicurezza. Questi sono descritti come Attacco Verticale di Profilo (VAP) e Attacco Orizzontale Profilo (HAP).
Leggi anche: i Contenitori sono fresco ora, ma macchine virtuali possono essere eterna – TechRepublic
Un VAP è tutto il codice, che è attraversata per fornire un servizio di tutta la strada dall’ingresso all’aggiornamento del database di uscita. Questo codice, come tutti i programmi, contiene un bug. Il bug densità varia, ma il codice che hai incrociato, che è chiamato ad eseguire, maggiore è la possibilità di esposizione per un buco di sicurezza. Per esempio, non importa quanto e ‘ il codice di un sistema operativo o di un programma se non viene eseguito. Stack di buchi di sicurezza exploit, che può saltare in fisico host del server o macchine virtuali, sono HAPs.
HAPs non sono comuni, ma sono il sistema di assassini. Bottomley li chiama “potenzialmente business distruggendo eventi”.
IBM risposta a HAPs è Nabla. Questo nuovo contenitore sicuro core design obiettivo è quello di creare una sandbox che emula l’interfaccia tra il contenitore di runtime e il sistema operativo del kernel syscall interfaccia con meno codice possibile. Esso fornisce anche una interfaccia sottile nel kernel stesso.
Nabla opere di sostituzione il tipico VM hypervisor interfaccia di hypercalls e vmexits con semplici chiamate di sistema (chiamate di sistema). Per esempio, Linux built-in hypervisor KVM interfaccia ha solo nove hypercalls e tutti questi possono essere riscritto come syscalls. Così, Nabla utilizza questi syscalls mentre seccomp, limita la sua interfaccia per essere solo ciò che la riscritto unikernel runtime bisogno in realtà.
Così, un Nabla containerizzato applicazione può evitare di fare un sistema Linux chiamata tramite il collegamento a un sistema operativo componente di libreria che implementa la chiamata di sistema funzionalità. In particolare, Nabla contenitori di uso Solo5 progetto unikernel tecniche per evitare le chiamate di sistema. Tutti insieme, Nabla contenitori di utilizzare solo nove chiamate di sistema. Linux secom politica di blocchi di tutte le altre chiamate. Questo riduce il contenitore superficie di attacco per un barebone minimo.
Primi di Ricerca IBM, i risultati dei test mostrano che Nabla è estremamente sicura. Infatti, oltre ad essere più sicuro di un altro contenitore di tecnologie, come la finestra Mobile e Google gVisor, un contenitore di runtime sandbox. E ‘ sicuro, o più, a seconda delle applicazioni, di Kata Contenitori, di un nuovo open-source, leggero VM progettate per proteggere i contenitori.
Leggi anche: che Cos’è Mobile e perché è così maledettamente popolare?
Non ci credete? Vuoi controllare? È possibile scaricare, installare ed eseguire Nabla contenitori per te su Ubuntu Linux.
Considerando quanto sono importanti i contenitori per i moderni, credo CHE tutti coloro che lavorano con i contenitori devono dare una prova. Nabla potrebbe essere più di un game-changer come finestra Mobile è stato quando ha fatto contenitori popolare.
Storie correlate:
Contenitori o macchine virtuali: Che è più sicura? La risposta vi sorprenderà Kata Contenitori Progetto lancia contenitore sicuro infrastructureGoogle fonti aperte gVisor, un sandbox contenitore runtimeTechRepublic: 5 consigli per proteggere i vostri contenitori Docker
Argomenti Correlati:
Linux
Cloud
Centri Dati
Archiviazione
Server
VMWare
0