Abo
  • IT-Karriere:

Gvisor: Google veröffentlicht Sandbox für Container

Mit Gvisor stellt Google ein Open-Source-Werkzeug bereit, das Container besser vom Hostsystem isolieren soll. Diese Container-Sandbox soll so gut schützen wie eine VM, aber weniger Ressourcen benötigen.

Artikel veröffentlicht am , /Kristian Kißling/Linux Magazin
Google will Container besser absichern.
Google will Container besser absichern. (Bild: Runner1928, Wikimedia Commons/CC-BY-SA 4.0)

Auf der Kubecon- und Cloud-Native-Con-Europe hat Google mit der Container-Sandbox Gvisor ein weiteres Security-Werkzeug für den Einsatz von Containern vorgestellt. Diese neue Open-Source-Sandbox soll dem laut Google gestiegenen Verlangen nach "heterogenen und weniger vertrauenswürdigen Workloads" Rechnung tragen und dabei Container-Apps und Hostsysteme besser voneinander isolieren. Der Code steht auf Github unter der Apache-Lizenz frei zur Verfügung.

Stellenmarkt
  1. Kisters AG, Oldenburg
  2. Hays AG, Frankfurt am Main

Gvisor fängt dabei die Systemaufrufe der Container-Anwendungen ab und tritt als Gastkernel auf, wobei die Anwendung selbst komplett im Userspace läuft und in Go geschrieben ist. Dieses Konzept ähnelt dabei in Teilen dem Prinzip des sogenannten User Mode Linux (UML), das bereits vor über einem Jahrzehnt erstellt worden ist und es ermöglicht, den Linux-Kernel als Anwendungsprozess laufen zu lassen.

Mit an Bord von Gvisor ist eine speziell dafür geschaffene Laufzeitumgebung namens runsc, die zu dem Standard runc der Open-Container-Initiative kompatibel sein soll und mit Docker sowie Kubernetes interagiert. Setzen Admins diese ein, führen Systemaufrufe ins Leere.

Gvisor soll laut Google verhältnismäßig schlank sein und so den Ressourcenaufwand im Vergleich zu einer echten Virtualisierung reduzieren, dabei aber eben einen vergleichbaren Grad an Isolierung bieten. Die Nutzung einer virtualisierten Umgebung für den Einsatz von Containern mag ungewöhnlich erscheinen, wird aber tatsächlich eingesetzt.

Google hofft, dass sich die eigene Software Gvisor mit anderen Sicherheitsbemühungen in diesem Feld vereinigt und sich die Sicherheit für Container-Anwendungen künftig dadurch weiter positiv entwickelt.



Anzeige
Hardware-Angebote
  1. 72,99€ (Release am 19. September)
  2. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)
  3. 259€ + Versand oder kostenlose Marktabholung (aktuell günstigste GTX 1070 Mini)
  4. (reduzierte Überstände, Restposten & Co.)

Onsdag 04. Mai 2018

Verstehe. Das ergibt in der Tat Sinn. Und wenn bereits Regeln für diverse Anwendungen...


Folgen Sie uns
       


Linksabbiegen mit autonomen Autos - Bericht

In Braunschweig testet das DLR an zwei Ampeln die Vernetzung von automatisiert fahrenden Autos und der Verkehrsinfrastruktur.

Linksabbiegen mit autonomen Autos - Bericht Video aufrufen
Bandlaufwerke als Backupmedium: Wie ein bisschen Tetris spielen
Bandlaufwerke als Backupmedium
"Wie ein bisschen Tetris spielen"

Hinter all den modernen Computern rasseln im Keller heutzutage noch immer Bandlaufwerke vor sich hin - eine der ältesten digitalen Speichertechniken. Golem.de wollte wissen, wie das im modernen Rechenzentrum aussieht und hat das GFZ Potsdam besucht, das Tape für Backups nutzt.
Von Oliver Nickel


    Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
    Nuki Smart Lock 2.0 im Test
    Tolles Aufsatzschloss hat Software-Schwächen

    Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
    Ein Test von Ingo Pakalski


      IT-Forensikerin: Beweise sichern im Faradayschen Käfig
      IT-Forensikerin
      Beweise sichern im Faradayschen Käfig

      IT-Forensiker bei der Bundeswehr sichern Beweise, wenn Soldaten Dienstvergehen oder gar Straftaten begehen, und sie jagen Viren auf Militärcomputern. Golem.de war zu Gast im Zentrum für Cybersicherheit, das ebenso wie die IT-Wirtschaft um guten Nachwuchs buhlt.
      Eine Reportage von Maja Hoock

      1. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
      2. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
      3. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht

        •  /