Weniger Angriffsfläche durch weniger Systemaufrufe

IBM Nabla Container mit Sicherheit einer VM

| Autor / Redakteur: Thomas Joos / Stephan Augsten

Nabla-Container sollen möglichst wenig mit dem Kernel kommunizieren.
Nabla-Container sollen möglichst wenig mit dem Kernel kommunizieren. (Bild: IBM)

IBM-Forscher haben eine neue Variante des Software-Containers entwickelt. Die Nabla-Container sollen dabei sicherer sein als Container-Systeme wie Docker, die sich den Kernel gemeinsam teilen.

Kernel-Container-Systeme wie zum Beispiel Docker gelten als weniger sicher als virtuelle Maschinen (VMs), da der Kompromiss eines gemeinsamen Kernels alle Container im System gefährdet. Bei VMs ist der Kernel vom Host-Kernel getrennt, was das Risiko von Kollateralschäden reduziert. Einfach ausgedrückt kann ein kompromittierter Container die anderen Container im Verbund beeinträchtigen.

Etliche große Unternehmen kennen die Vorteile von Containern und zeigen Interesse an der Technologie, scheuen aber gleichzeitig das Risiko. Software-Hersteller wiederum sind an Lösungen in diesem Bereich interessiert,und loten Möglichkeiten aus, um die Sicherheitsmängel von Containern zu beheben. Microsoft beispielsweise hat die Hyper-V-Container entwickelt. Diese teilen sich nicht den Kernel, sondern nutzen jeweils einen eigenen Kernel. Aber auch andere Unternehmen suchen nach Lösungen.

Die OpenStack Foundation hat kürzlich die Version 1.0 des Intel-backed Kata Containers veröffentlicht. Dabei handelt es sich um ein Experiment die Sicherheit von VMs mit der Geschwindigkeit von Containern zu kombinieren. Google betreibt mit gVisor einen ähnlichen Ansatz. IBM will mit der Software Nabla Containers ebenfalls eine Lösung anbieten.

Nabla Container und Kata Container zielen beide darauf ab, potenzielle Angriffsmöglichkeiten zu reduzieren. Der Kata-Container-Ansatz erreicht das, indem er jedem Container oder Pod eine eigene kleine VM und einen Mini-Kernel zur Verfügung stellt.

Der Ansatz von Nabla Containers unterscheidet sich davon: Das System führt weniger Linux-Systemaufrufe auf, indem es auf Unikernel-Techniken (Bibliotheksbetriebssysteme) in Verbindung mit der Solo 5-Middleware setzt. „Nabla Container verwenden nur 9 Systemaufrufe. Alle anderen werden über eine Linux-Seccomp-Richtlinie blockiert“, erklärt die Projekt-Website. Der Effekt davon besteht darin, weniger Kommunikation mit dem Kernel durchzuführen und weniger Angriffsfläche zu bieten.

James Bottomley, ein angesehener Ingenieur bei IBM Research und Linux-Kernel-Mitarbeiter beschreibt: „Nabla ist bei weitem die beste Eindämmungstechnologie für sichere Workloads, da sie die geringste Leistung gegenüber dem Docker opfert, um die Eindämmung zu erreichen. Aufgrund der veröffentlichten Ergebnisse ist sie sogar doppelt so sicher wie die Verwendung von Hypervisor-basierten Eindämmungen.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45448444 / Container & Virtualisierung)