IBM: Container sicherer als VMs

16.07.2018

Legt man die Angriffsfläche zugrunde, schneiden Container nicht so schlecht ab wie VMs.

Der IBM-Mitarbeiter James Bottomley berichtet in seinem Blog über Messungen, die belegen sollen, dass Container mindestens genauso sicher sind wie Hypervisoren. Wird eine von IBM als Open Source entwickelte Runtime verwendet, seien Container-Anwendungen gar sicherer als VMs. Als Grundlage seiner Benchmarks definiert Bottomley zunächst zwei Angriffsarten beim Einsatz von Workloads in Cloud-Umgebungen: Das Vertical Attack Profile (VAP) besteht dabei aus dem kompletten Technologie-Stack, angefangen von Web-Frameworks über Webserver-Software bis potenziell hinab zum Betriebssystem. Das Horizontal Attack Profile (HAP) betrifft dagegen eher die nebeneinander auf einer Plattform laufenden VMs/Container und die darunterliegende Software. Typischerweise kümmern sich Cloud-Provider um letzteres, sodass für Cloud-Kunden weniger Aufwand für die Wartung hinsichtlich der Sicherheit entsteht. Je mehr Elemente des VAP von einem Provider übernommen wird, etwa in der Form von PaaS oder SaaS, desto weniger muss sich der Kunde um seinen Stack kümmern.

Der zweite Faktor, den Bottomley seinen Messungen zu Grunde legt, ist die Annahme, dass ein System umso unsicherer ist, desto mehr Code es verwendet. Dementsprechend ist die entscheidende Metrik zur Beurteilung der Sicherheit die Anzahl von Kernel-Funktionen, von einer kompletten Anwendung aufgerufen werden. Damit gerät Bottomley letztlich zu seinem Schluss: Da etwa bei der Container-Ausführung von Googles gVisor weniger Kernel-Funktionen durchlaufen werden als bei der Variante mit KVM, ist die Container-Anwendung rechnerisch sicherer. Selbst Docker-Anwendungen schneiden hierbei sehr gut ab, erlauben Angreifern aber jenseits der laufenden Anwendungen den Zugriff auf weitere verfügbare Systemcalls. Dem kann durch ein "sorgfältig zusammengestelltes" Seccomp-Profil begegnet werden, so Bottomley.

Der beste Weg ist für Bottomley die von IBM als Open Source entwickelte Nabla-Runtime, die aus der Arbeit an Unikerneln enstanden ist. Als eine Art Wrapper begrenzt Nabla noch einmal die zur Verfügung stehenden Kernel-Funktionen und damit die Angriffsfläche auf die Container-Anwendungen. Damit wird Nabla für Bottomley zum Testsieger, der bei reduziertem Angriffsvektor gleichzeitig die höchste Performance liefert.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Docker-Container 1.10 werden sicherer

Mit einer Vielzahl von Techniken versucht Docker den bestehenden Sicherheitsbedenken zu begegnen. 

Artikel der Woche

Rechneranalyse mit Microsoft-Sysinternals-Tools

Der Rechner verhält sich eigenartig oder Sie haben eine unbekannte Applikation im Task Manager entdeckt und möchten erfahren, worum es sich dabei genau handelt und ob sie möglicherweise gefährlich ist? In so einem Fall helfen die Sysinternals-Tools von Microsoft. Dieser Beitrag stellt die drei Werkzeuge Autoruns, Process Explorer und TCPView vor. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018