Контейнеры IBM безопаснее, чем Docker

Компания IBM в разработанной ею технологии Nabla постаралась решить проблемы безопасности, свойственные Docker и другим контейнерам, уменьшив «поверхность атаки» путём сокращения системных запросов до абсолютно необходимого минимума.

Ключевой особенностью Nabla является «песочница», эмулирующая интерфейс между средой выполнения контейнера и системным ядром с минимальным объёмом используемого кода.

Приложение в контейнере Nabla вместо системного вызова может обращаться (с помощью техник проекта Solo5) к библиотечной компоненте Linux, реализующей функции syscall. В общей сложности, контейнеры Nabla используют лишь девять системных вызовов, все остальные блокируются политикой secom ОС Linux.

Предварительные испытания IBM Research показали исключительную безопасность Nabla. В этом отношении новая технология превосходит Docker и Google gVisor, а в ряде приложений — и Kata Containers, новую легковесную ВМ с открытым кодом, предназначенную для улучшения защиты контейнеров.

Контейнеры Nabla уже доступны для загрузки и установки. Работают они с Ubuntu Linux.