Open-Source-Tool gVisor
07.05.2018, 07:04 Uhr
Google sichert Container per Sandbox ab
Google veröffentlicht mit gVisor eine Open-Source-Runtime zur Absicherung von Containern in einer Sandbox. gVisor ist kompatibel zu Docker und Kubernetes und isoliert Container-Apps vom Gastsystems.
Google stellt Unternehmen mit gVisor ein neues Werkzeug zur Absicherung von Containern-Anwendungen zur Verfügung. Die Open-Source-Runtime isoliert Container in einer Sandbox und koppelt sie so vom Gastsystem ab. Damit biete die Lösung die Vorzüge einer virtuellen Maschine (VM) bei gleichzeitig schlankerem Aufbau. In der Praxis integriert sich die in Go geschriebene gVisor-Runtime zudem direkt in Docker und Kubernetes.
Herkömmliche Linux-Container greifen wie normale Programme direkt per Systemaufruf auf den Kernel des Hosts zu und stellen damit auch eine Gefahr für die Infrastruktur dar. gVisor isoliert die Container ähnlich wie eine VM, wobei Aufrufe limitiert über einen unabhängigen Kernel als Zwischeninstanz verarbeitet werden. Eine direkte Kommunikation von Container zu Host wird damit unterbunden.