Google sichert Container per Sandbox ab

Google stellt Unternehmen mit gVisor ein neues Werkzeug zur Absicherung von Containern-Anwendungen zur Verfügung. Die Open-Source-Runtime isoliert Container in einer Sandbox und koppelt sie so vom Gastsystem ab. Damit biete die Lösung die Vorzüge einer virtuellen Maschine (VM) bei gleichzeitig schlankerem Aufbau. In der Praxis integriert sich die in Go geschriebene gVisor-Runtime zudem direkt in Docker und Kubernetes.

Herkömmliche Linux-Container greifen wie normale Programme direkt per Systemaufruf auf den Kernel des Hosts zu und stellen damit auch eine Gefahr für die Infrastruktur dar. gVisor isoliert die Container ähnlich wie eine VM, wobei Aufrufe limitiert über einen unabhängigen Kernel als Zwischeninstanz verarbeitet werden. Eine direkte Kommunikation von Container zu Host wird damit unterbunden.

Da es sich bei gVisor prinzipiell um ein stark paravirtualisiertes System handelt, fällt der Footprint weitaus geringer aus als bei einer ausgewachsenen VM. Auch der Ressourcenaufwand reduziert sich durch diesen schlanken Aufbau laut Google deutlich.

Die neue Lösung dürfte damit speziell für Anbieter interessant sein, die unbekannte und potenziell unsichere Container-Apps von Kunden auf ihrer Infrastruktur hosten. Interessierte Unternehmen finden den Quellcode von gVisor bei Github.