Open-Source-Tool gVisor
07.05.2018, 07:04 Uhr
Google sichert Container per Sandbox ab
Google veröffentlicht mit gVisor eine Open-Source-Runtime zur Absicherung von Containern in einer Sandbox. gVisor ist kompatibel zu Docker und Kubernetes und isoliert Container-Apps vom Gastsystems.
Google stellt Unternehmen mit gVisor ein neues Werkzeug zur Absicherung von Containern-Anwendungen zur Verfügung. Die Open-Source-Runtime isoliert Container in einer Sandbox und koppelt sie so vom Gastsystem ab. Damit biete die Lösung die Vorzüge einer virtuellen Maschine (VM) bei gleichzeitig schlankerem Aufbau. In der Praxis integriert sich die in Go geschriebene gVisor-Runtime zudem direkt in Docker und Kubernetes.
Herkömmliche Linux-Container greifen wie normale Programme direkt per Systemaufruf auf den Kernel des Hosts zu und stellen damit auch eine Gefahr für die Infrastruktur dar. gVisor isoliert die Container ähnlich wie eine VM, wobei Aufrufe limitiert über einen unabhängigen Kernel als Zwischeninstanz verarbeitet werden. Eine direkte Kommunikation von Container zu Host wird damit unterbunden.
gVisor als schlanke VM-Alternative
Da es sich bei gVisor prinzipiell um ein stark paravirtualisiertes System handelt, fällt der Footprint weitaus geringer aus als bei einer ausgewachsenen VM. Auch der Ressourcenaufwand reduziert sich durch diesen schlanken Aufbau laut Google deutlich.
Die neue Lösung dürfte damit speziell für Anbieter interessant sein, die unbekannte und potenziell unsichere Container-Apps von Kunden auf ihrer Infrastruktur hosten. Interessierte Unternehmen finden den Quellcode von gVisor bei Github.