Google veröffentlicht Container-Sandbox gVisor

Mit dem neuen Open-Source-Projekt gVisor bietet Google Betreibern von Container-Umgebungen eine neue Sandbox-Umgebung. Die Software integriert sich in Docker und Kubernetes und isoliert die Container vom Kernel des Gastsystems.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Google veröffentlicht Container-Sandbox gVisor

Googles Stand auf der KubeCon + CloudNativeCon.

Lesezeit: 2 Min.
Von
  • Jan Mahn

Google stellt mit gVisor einen weiteren Baustein der eigenen Cloud-Infrastruktur als Open-Source-Projekt zur Verfügung. Das Projekt richtet sich an Betreiber von Container-Umgebungen, in denen potenziell unsicherer Code ausgeführt wird, und isoliert die Prozesse im Container vom Host-Betriebssystem.

Prozesse, die in Containern laufen, nutzen den Kernel des Betriebssystems und führen auf diesem Systemaufrufe aus. Angreifer, die Code in einem Container ausführen, können darüber beispielsweise Sicherheitslücken im Host-Betriebssystem ausnutzen, um Daten anderer Prozesse auszulesen. Gefährdet sind vor allem Umgebungen, die Container von Kunden ausführen und den eingesetzten Code nicht kennen.

Um das Ausbrechen zu verhindern, nutzen viele Betreiber von Container-Umgebungen bisher Virtualisierung. Die Container laufen in eigenen virtuellen Maschinen und nutzen deren Kernel für Systemaufrufe. Die virtuellen Maschinen verbrauchen im Betrieb allerdings konstant Systemressourcen.

Googles gVisor isoliert den Container vom Kernel des Betriebssystems.

(Bild: Google)

Googles Projekt gVisor, das am Mittwoch unter Apache License veröffentlicht wurde, soll eine ressourcenschonendere Alternative darstellen, die nach Googles Angaben bereits länger in der eigenen Cloud im Einsatz ist. gVisor stellt sich dem Container gegenüber als Kernel dar, nimmt Systemaufrufe entgegen und reicht sie ans Host-Betriebssystem weiter. Google selbst bezeichnet den Ansatz als Paravirtualisierung. Nach der Installation wird gVisor über den Runtime-Parameter von Docker aktiviert:

docker run --runtime=runsc gefaehrlicher-container

Die Integration in Kubernetes ist aktuell als experimentell gekennzeichnet, das GitHub-Repository des Projekts enthält eine detaillierte Installationsanleitung.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Zur Vorstellung wählte Google die KubeCon + CloudNativeCon, die zur Zeit in Kopenhagen stattfindet. Am Google-Stand demonstrierte ein Entwickler in einer Live-Demo die Funktionsweise am Beispiel eines Meltdown-Angriffs. Auf einem anfälligen Betriebssystem konnte ein nicht isolierter Container Informationen aus dem Speicher auslesen, die nicht für ihn bestimmt waren. Mit aktiviertem gVisor scheiterte der gleiche Angriff. (jam)