Sehen Sie sich den Vortrag von Akash Gautam auf der ContainerDays-Konferenz 2024 an
Standardmäßig laufen die Container als Prozesse, die sich den Kernel des Hosts teilen. Dies führt zu einer potenziellen Sicherheitsbedrohung, wenn alle Container auf einem Host kompromittiert werden. Selbst wenn einer der Container kompromittiert wird, entschärft Container-Sandboxing diese Bedrohung, indem jeder Container innerhalb einer leichtgewichtigen VM ausgeführt wird und somit eine Isolierungsschicht zwischen Containern sowie zwischen Containern und dem Host-Kernel geschaffen wird.
Dies garantiert jedoch keinen Schutz, wenn der Host selbst kompromittiert wird, was uns zu vertraulichen Containern führt, bei denen Container auf der Hardwareebene isoliert werden, um sie vor unbefugtem Zugriff vom Host, von Infrastrukturanbietern und anderen Entitäten mit privilegiertem Zugriff zu schützen und so die Integrität der Daten und des Codes zu gewährleisten, selbst wenn sie in Gebrauch sind.
In diesem Vortrag werde ich die Entwicklung der Container-Isolierung von Sandboxing zu vertraulichen Containern, die Anwendungsfälle und Bedenken, die vertrauliche Container adressieren, und die Unterschiede zu Sandboxing diskutieren.
Sprecher: Akash Gautam, Berater bei Kubermatic