Nul
Bedrijven houden van containers, omdat ze hen in staat stellen om meer banen op servers. Maar bedrijven ook een hekel aan containers, omdat ze bang zijn dat ze minder veilig zijn dan virtuele machines (VM ‘ s). IBM denkt, het heeft een antwoord op die vraag: Nabla containers, die zijn veiliger door het ontwerp dan rivaal container begrippen.
James Bottomley, een IBM-Onderzoek distinguished engineer top Linux kernel developer, eerste contouren die er zijn twee fundamentele soorten van de container en de VM (virtual machine) veiligheid problemen. Deze worden beschreven als Verticale Aanval Profiel (VAP) en Horizontale Aanval Profiel (HAP).
Lees ook: Containers, koel zijn nu, maar VMs kan eeuwig – TechRepublic
Een VAP is alle code, die doorlopen tot het verlenen van een dienst de manier van input naar database-update uitvoeren. Deze code, net als alle programma ‘ s, bevat fouten. De bug dichtheid varieert, maar meer om de code die u traverse, die genoemd wordt uitgevoerd, hoe groter de kans van blootstelling aan een gat in de beveiliging. Bijvoorbeeld, het maakt niet uit hoe veel code wordt in een besturingssysteem of het programma als het niet wordt uitgevoerd. Stapel gaten in de beveiliging exploits, die kan springen in de fysieke server host of vm ‘ s, zijn HAPs.
HAPs zijn niet gebruikelijk, maar ze zijn systeem moordenaars. Bottomley noemt ze “potentieel business vernietigen van gebeurtenissen.”
IBM ‘ s antwoord te HAPs is Nabla. Deze nieuwe beveiligde container core design doel is om te maken is een sandbox die emuleert de interface tussen de container runtime en de kernel van het besturingssysteem is syscall interface met zo weinig code mogelijk. Het biedt ook een smalle interface in de kernel zelf.
Nabla werkt door het vervangen van de typische VM hypervisor interface van hypercalls en vmexits met eenvoudig systeem oproepen (syscalls). Bijvoorbeeld, Linux ingebouwde KVM hypervisor interface heeft slechts negen hypercalls en al deze kan worden herschreven als syscalls. Dus, Nabla gebruikt deze syscalls terwijl seccomp beperkt de interface wordt alleen wat de herschreven unikernel runtime echt nodig heeft.
Dus, een Nabla van containers toepassing kan voorkomen dat het maken van een Linux-systeem bellen door het koppelen van een besturingssysteem bibliotheek component, die voor de uitvoering van de system call functionaliteit. Specifiek, Nabla containers gebruik Solo5 project unikernel technieken om te voorkomen dat het systeem oproepen. Allemaal samen, Nabla containers slechts negen system calls. Een Linux secom beleid blokkeert alle andere gesprekken. Dit vermindert de container van de aanval op het oppervlak tot een barebones minimum.
Begin van de IBM-Onderzoek test-resultaten tonen aan dat Nabla is zeer veilig. Inderdaad, naast het feit dat het veiliger is dan het andere container technologieën, zoals Docker en Google ‘ s gVisor, een container runtime zandbak. Het is net zo veilig, of meer, afhankelijk van de applicaties, dan Kata Containers, een nieuwe open-source lichtgewicht VM ontworpen voor veilige containers.
Lees ook: Wat is de Docker en waarom is het zo verrekte populair?
U gelooft het niet? Wil om het te controleren? U kunt downloaden, installeren en uitvoeren van Nabla containers voor jezelf op Ubuntu Linux.
Gezien het feit hoe belangrijk containers zijn voor de moderne IT, ik denk dat iedereen het werken met containers moet het een keer te proberen. Nabla kon zo veel van een spel-wisselaar als Dokwerker was als het gemaakt containers populair.
Verwante artikelen:
Containers of virtuele machines: Wat is veiliger? Het antwoord zal u verrassen Kata Containers Project gestart om beveiligde container infrastructureGoogle open bronnen gVisor, namelijk een container runtimeTechRepublic: 5 tips voor het beveiligen van uw Docker containers
Verwante Onderwerpen:
Linux
Cloud
Datacenters
Opslag
Servers
VMWare
0