Компания IBM в разработанной ею технологии Nabla постаралась решить проблемы безопасности, свойственные Docker и другим контейнерам, уменьшив «поверхность атаки» путём сокращения системных запросов до абсолютно необходимого минимума.
Ключевой особенностью Nabla является «песочница», эмулирующая интерфейс между средой выполнения контейнера и системным ядром с минимальным объёмом используемого кода.
Приложение в контейнере Nabla вместо системного вызова может обращаться (с помощью техник проекта Solo5) к библиотечной компоненте Linux, реализующей функции syscall. В общей сложности, контейнеры Nabla используют лишь девять системных вызовов, все остальные блокируются политикой secom ОС Linux.
Предварительные испытания IBM Research показали исключительную безопасность Nabla. В этом отношении новая технология превосходит Docker и Google gVisor, а в ряде приложений — и Kata Containers, новую легковесную ВМ с открытым кодом, предназначенную для улучшения защиты контейнеров.
Контейнеры Nabla уже доступны для загрузки и установки. Работают они с Ubuntu Linux.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |