Gvisor: Google veröffentlicht Sandbox für Container

Mit Gvisor stellt Google ein Open-Source-Werkzeug bereit, das Container besser vom Hostsystem isolieren soll. Diese Container-Sandbox soll so gut schützen wie eine VM, aber weniger Ressourcen benötigen.

Artikel veröffentlicht am , /Kristian Kißling/Linux Magazin
Google will Container besser absichern.
Google will Container besser absichern. (Bild: Runner1928, Wikimedia Commons/CC-BY-SA 4.0)

Auf der Kubecon- und Cloud-Native-Con-Europe hat Google mit der Container-Sandbox Gvisor ein weiteres Security-Werkzeug für den Einsatz von Containern vorgestellt. Diese neue Open-Source-Sandbox soll dem laut Google gestiegenen Verlangen nach "heterogenen und weniger vertrauenswürdigen Workloads" Rechnung tragen und dabei Container-Apps und Hostsysteme besser voneinander isolieren. Der Code steht auf Github unter der Apache-Lizenz frei zur Verfügung.

Stellenmarkt
  1. Manager (w/m/d) Informationssicherheit / Datenschutz Erzeugung
    EnBW Energie Baden-Württemberg AG, Stuttgart
  2. IT-Koordinator Softwareentwicklung (m/w/d)
    Bundesgesellschaft für Endlagerung mbH (BGE), Peine
Detailsuche

Gvisor fängt dabei die Systemaufrufe der Container-Anwendungen ab und tritt als Gastkernel auf, wobei die Anwendung selbst komplett im Userspace läuft und in Go geschrieben ist. Dieses Konzept ähnelt dabei in Teilen dem Prinzip des sogenannten User Mode Linux (UML), das bereits vor über einem Jahrzehnt erstellt worden ist und es ermöglicht, den Linux-Kernel als Anwendungsprozess laufen zu lassen.

Mit an Bord von Gvisor ist eine speziell dafür geschaffene Laufzeitumgebung namens runsc, die zu dem Standard runc der Open-Container-Initiative kompatibel sein soll und mit Docker sowie Kubernetes interagiert. Setzen Admins diese ein, führen Systemaufrufe ins Leere.

Gvisor soll laut Google verhältnismäßig schlank sein und so den Ressourcenaufwand im Vergleich zu einer echten Virtualisierung reduzieren, dabei aber eben einen vergleichbaren Grad an Isolierung bieten. Die Nutzung einer virtualisierten Umgebung für den Einsatz von Containern mag ungewöhnlich erscheinen, wird aber tatsächlich eingesetzt.

Golem Akademie
  1. Dive-in-Workshop: Kubernetes
    28.09. / 30.09. / 5.10. / 7.10.2021, online
  2. PostgreSQL Fundamentals
    14.-17. September 2021, online
  3. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
Weitere IT-Trainings

Google hofft, dass sich die eigene Software Gvisor mit anderen Sicherheitsbemühungen in diesem Feld vereinigt und sich die Sicherheit für Container-Anwendungen künftig dadurch weiter positiv entwickelt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Opel Mokka-e im Praxistest
Reichweitenangst kickt mehr als Koffein

Ist ein Kompakt-SUV wie Opel Mokka-e für den Urlaub geeignet? Im Praxistest war nicht der kleine Akku das eigentliche Problem.
Ein Test von Friedhelm Greis

Opel Mokka-e im Praxistest: Reichweitenangst kickt mehr als Koffein
Artikel
  1. Statt TCP: Quic ist schwer zu optimieren
    Statt TCP
    Quic ist schwer zu optimieren

    Eine Untersuchung von Quic im Produktiveinsatz zeigt: Die Vorteile des Protokolls sind wohl weniger wichtig als die Frage, wer es einsetzt.

  2. Lockbit 2.0: Ransomware will Firmen-Insider rekrutieren
    Lockbit 2.0
    Ransomware will Firmen-Insider rekrutieren

    Die Ransomware-Gruppe Lockbit sucht auf ungewöhnliche Weise nach Insidern, die ihr Zugangsdaten übermitteln sollen.

  3. Galactic Starcruiser: Disney eröffnet immersives (und teures) Star-Wars-Hotel
    Galactic Starcruiser
    Disney eröffnet immersives (und teures) Star-Wars-Hotel

    Wer schon immer zwei Tage lang wie in einem Star-Wars-Abenteuer leben wollte, bekommt ab dem Frühjahr 2022 die Chance dazu - das nötige Kleingeld vorausgesetzt.

Onsdag 04. Mai 2018

Verstehe. Das ergibt in der Tat Sinn. Und wenn bereits Regeln für diverse Anwendungen...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Fire TV Stick 4K Ultra HD 29,99€, Echo Dot 3. Gen. 24,99€ • Robas Lund DX Racer Gaming-Stuhl 143,47€ • HyperX Cloud II Gaming-Headset 59€ • Media Markt Breaking Deals [Werbung]
    •  /