Suchen

Weniger Angriffsfläche durch weniger Systemaufrufe IBM Nabla Container mit Sicherheit einer VM

Autor / Redakteur: Thomas Joos / Stephan Augsten

IBM-Forscher haben eine neue Variante des Software-Containers entwickelt. Die Nabla-Container sollen dabei sicherer sein als Container-Systeme wie Docker, die sich den Kernel gemeinsam teilen.

Firmen zum Thema

Nabla-Container sollen möglichst wenig mit dem Kernel kommunizieren.
Nabla-Container sollen möglichst wenig mit dem Kernel kommunizieren.
(Bild: IBM)

Kernel-Container-Systeme wie zum Beispiel Docker gelten als weniger sicher als virtuelle Maschinen (VMs), da der Kompromiss eines gemeinsamen Kernels alle Container im System gefährdet. Bei VMs ist der Kernel vom Host-Kernel getrennt, was das Risiko von Kollateralschäden reduziert. Einfach ausgedrückt kann ein kompromittierter Container die anderen Container im Verbund beeinträchtigen.

Etliche große Unternehmen kennen die Vorteile von Containern und zeigen Interesse an der Technologie, scheuen aber gleichzeitig das Risiko. Software-Hersteller wiederum sind an Lösungen in diesem Bereich interessiert,und loten Möglichkeiten aus, um die Sicherheitsmängel von Containern zu beheben. Microsoft beispielsweise hat die Hyper-V-Container entwickelt. Diese teilen sich nicht den Kernel, sondern nutzen jeweils einen eigenen Kernel. Aber auch andere Unternehmen suchen nach Lösungen.

Die OpenStack Foundation hat kürzlich die Version 1.0 des Intel-backed Kata Containers veröffentlicht. Dabei handelt es sich um ein Experiment die Sicherheit von VMs mit der Geschwindigkeit von Containern zu kombinieren. Google betreibt mit gVisor einen ähnlichen Ansatz. IBM will mit der Software Nabla Containers ebenfalls eine Lösung anbieten.

Nabla Container und Kata Container zielen beide darauf ab, potenzielle Angriffsmöglichkeiten zu reduzieren. Der Kata-Container-Ansatz erreicht das, indem er jedem Container oder Pod eine eigene kleine VM und einen Mini-Kernel zur Verfügung stellt.

Der Ansatz von Nabla Containers unterscheidet sich davon: Das System führt weniger Linux-Systemaufrufe auf, indem es auf Unikernel-Techniken (Bibliotheksbetriebssysteme) in Verbindung mit der Solo 5-Middleware setzt. „Nabla Container verwenden nur 9 Systemaufrufe. Alle anderen werden über eine Linux-Seccomp-Richtlinie blockiert“, erklärt die Projekt-Website. Der Effekt davon besteht darin, weniger Kommunikation mit dem Kernel durchzuführen und weniger Angriffsfläche zu bieten.

James Bottomley, ein angesehener Ingenieur bei IBM Research und Linux-Kernel-Mitarbeiter beschreibt: „Nabla ist bei weitem die beste Eindämmungstechnologie für sichere Workloads, da sie die geringste Leistung gegenüber dem Docker opfert, um die Eindämmung zu erreichen. Aufgrund der veröffentlichten Ergebnisse ist sie sogar doppelt so sicher wie die Verwendung von Hypervisor-basierten Eindämmungen.“

(ID:45448444)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist