19.07.2018  Экспертиза, Безопасность

Эксперты уже продолжительное время не могут сойтись во мнении, какая из этих двух технологий более защищенная, но ситуацию взялась прояснить IBM. Инженер исследовательского подразделения компании и разработчик ядра Linux Джеймс Боттомли в своем блоге написал, что вряд ли эти дискуссии можно назвать плодотворными, поскольку уровень безопасности контейнеров и виртуальных машин (ВМ) часто измерялся не средствами сравнительного анализа, а эмпирически (мол, «гипервизоры более безопасные, чем контейнеры, из-за реализации интерфейса»). Задавшись целью провести сравнение обеих технологий с точки зрения их защищенности, Боттомли разработал профиль Horizontal Attack Profile (HAP). Проводя оценку, он обнаружил, что «контейнер Docker с хорошо продуманным профилем seccomp (который блокирует неожиданные системные вызовы) обеспечивает безопасность, примерно эквивалентную гипервизору». Свое описание он начинает с профиля вертикальной атаки Vertical Attack Profile (VAP), который включает код для обеспечения работоспособности службы, включая обновления базы данных. Как и код других программ, код VAP содержит уязвимости. Очевидно, что чем больше кода в программе, тем выше шансы, что в нем имеется какое-то количество ошибок. Тем временем эксплойты, работающие по всему стеку ПО, — как на физических серверах, так и ВМ — это HAP. HAP — наихудший вид уязвимостей в системе безопасности, при которых брешь в одном из базовых слоев (например, в ядре Linux или гипервизоре) может привести к полной ... читать далее.