Effectiviteit van cloud-native sandboxingtechnologieën bij het beperken van securitydreigingen
Containertechnologie heeft de manier waarop applicaties worden gedeployed en beheerd in cloud-native omgevingen ingrijpend veranderd. Door applicaties en hun dependencies te verpakken in lichte, geïsoleerde containers kunnen developers meer wendbaarheid, schaalbaarheid en resource-efficiëntie realiseren. Containers maken gebruik van de kernel van het host operating system om een efficiënte runtime-omgeving te bieden, zeker in vergelijking met de performance van volledige virtualisatie-oplossingen. Deze gedeelde kernel introduceert echter ook security-uitdagingen. Wanneer het operating system zelf niet binnen de container draait, blijven OS-resources met onvolledige virtualisatie kwetsbaar en kunnen kernel bugs worden misbruikt via een groot attack surface (meer dan 300 system calls).
Securityrisico’s in container-omgevingen
Doordat containerized applicaties via honderden system calls met de host kernel kunnen communiceren, neemt het attack surface aanzienlijk toe. Dit vergroot het risico op security-incidenten. Containers zijn weliswaar efficiënt, maar vormen vanuit security-oogpunt een aandachtspunt omdat zij een gedeeld operating system gebruiken.
Secure container technologies
Om deze securityrisico’s te mitigeren zijn secure container technologies ontstaan, zoals gVisor, Kata Containers en Nabla containers. Deze technologieën hebben als doel de isolatie en security van containers te versterken door extra beschermings- en isolatielagen toe te voegen tussen de containerized applicaties en het host operating system. gVisor introduceert hierbij specifiek het mechanisme “system call interception”. Dit mechanisme wordt ingezet om system call-activiteit te controleren en te monitoren. Door system calls te onderscheppen en te filteren kan de gVisor container runtime, runsc, extra isolatie bieden voor containers.
Afwegingen tussen security en performance
Hoewel container runtimes streven naar een balans tussen security en performance, brengt “system call interception” onvermijdelijk performance overhead met zich mee. Het onderscheppingsproces vereist extra context switching, wat de totale uitvoeringstijd van system calls kan beïnvloeden. De mate van performance-impact is afhankelijk van de implementatie van de container runtime en van de specifieke system calls die worden onderschept.
Onderzoeksvragen
Deze overwegingen hebben geleid tot de formulering van de volgende hoofdonderzoeksvragen, inclusief subvragen:
- Hoe effectief zijn cloud-native sandboxingtechnologieën zoals gVisor in het beperken van securitydreigingen?
- Welke performance- en security-afwegingen spelen een rol bij sandboxingtechnologieën?
