Нашел три интересных проекта, призванных дополнительно обезопа | Cybred

Нашел три интересных проекта, призванных дополнительно обезопасить контейнеризированные приложения и уменьшить поверхность для атаки.

Kata Containers - проект, позволяющий создавать "облегченные" виртуальные машины для разворачивания внутри них различных контейнеров. Призван сэкономить ресурсы сервера, обеспечив при этом дополнительную изоляцию за счет использования гипервизора.

Вроде как, несмотря, на описанные выше плюсы, некоторые ругают его за долгий запуск самих виртуалок. Сам не тестил, но зато нашел решение от AWS в виде Firecracker, который активно использует сам Amazon для сервисов Lambda и Fargate.

На сайте пишут, что время загрузки создаваемых виртуальных машин составляет порядка 125 миллисекунд. Такая скорость достигается благодаря тому, что разработчики вырезали из ядра всю функциональность, которая не требуется в контейнере.

Но если для кого-то и 125мс. покажется долго, на этот случай есть разработанные IBM Nabla контейнеры. Nabla контейнеры используют Unikernels образы и ограничены 7-ю сисколами - read, write, exit_group, clock_gettime, ppoll, pwrite64, и pread64. Все остальные вызовы обрабатываются в библиотечном компоненте Unikernels.