Software::Virtualisierung
Google stellt Container-Runtime gVisor als Open Source vor
Google hat mit gVisor eine neue Sandbox zur Isolierung von Containern vorgestellt, die mit Docker und Kubernetes interagiert.
Google
Die Sicherheit von Containern hat nie ganz mit der rapiden Verbreitung dieser Technik mithalten können. Experten wie Red Hats Daniel Walsh
empfehlen, nicht vertrauenswürdige oder potenziell bösartige Applikationen nicht in Containern laufen zu lassen. Google stellt mit der
Container-Runtime gVisor einen Schritt zu mehr Sicherheit vor. gVisor ist ein in Go geschriebener User-Space-Kernel, der als unprivilegierter Prozess läuft und eine
Open Container Initiative (OCI)-Laufzeitumgebung namens
runsc enthält, die die Anwendung vom Host-Kernel isoliert. Die runsc-Laufzeitumgebung, was für »run Sandboxed Container« steht, interagiert mit Docker und Kubernetes, was den Einsatz von Sandbox-Containern mit gVisor vereinfacht.
Traditionelle Linux-Container wie etwa Docker oder rkt von CoreOS interagieren mit der Systemumgebung, wie andere Applikationen auch, über Systemaufrufe an den Host-Kernel. Dieser limitiert zwar den Zugriff über Namespaces und Cgroups, erfasst dabei aber nicht alle Ressourcen. Über Seccomp-Filter können zulässige Systemaufrufe zwar limitiert werden, was aber schnell sehr aufwendig werden kann.
Laut Google ist gVisor bei der Sicherheit mit normalen VMs vergleichbar, ist aber um einiges leichter. Der Pferdefuß dabei ist, dass derzeit nur etwas mehr 200 der insgesamt weit über 300 Linux-Systemaufrufe unterstützt werden und somit nicht alle Applikationen unter gVisor lauffähig sind. Zu den unterstützten Programmen zählen beispielsweise Apache, Java 8, Jenkins, MySQL, MongoDB, Node.js und Redis.
Die Anwendung von gVisor mit Docker ist simpel und benötigt lediglich die Definition der Runtime im Docker-Aufruf mittels --runtime=runsc. Bei Kubernetes setzt die bisher noch experimentelle Integration bei den Pods an. Die Gemeinschaft arbeitet gerade an einer entsprechenden Container Isolation API. Eine technische Ausarbeitung samt Startanleitung für gVisor findet sich auf GitHub.
){kind=logo}
