• Live chat
  • Facebook
  • Google Plus
  • rss

Magányra vágyik az Intel, ezért saját konténerbiztonsági megoldást fejleszt

×
×
Megjelent: 2015.08.06 Vissza

Új szempontból közelíti meg a biztonságot az Intel, szándékaik szerint így fejlesztve tovább a konténerizációs technológiát.

A chipgyártó óriáscég legújabb megoldását „clear container” néven emlegetik. Lényege, hogy a biztonságot és skálázhatóságot az általuk gyártott chipekbe épített VT-x kiterjesztések segítségével erősítik meg. A VT-x olyan virtualizációs megoldásokat tesz lehetővé, melyek által a processzorok hatékonyabban megoszthatják erőforrásaikat a virtuális gépek között, miközben azokat el is különítik egymástól.

Az Intel szerint a Linux konténerekkel ezt jóval nehezebb megoldani, mivel az azok alapjául szolgáló kernelt belülről könnyű megtámadni. Ez pedig igen problémás, mivel minden egy kiszolgálón futó konténert fenyeget, még akkor is, ha azok izolációjára törekednek – ezzel tehát maga a több bérlős megoldás válik rizikóssá.

A chipgyártó szerint hatékonyabb elkülönítést érhetnek el azzal, ha egy konténerre egy virtuális gép jut, amelyet „becsomagolnak” a Linux operációs rendszer egy speciálisan optimalizált verziójába, így a biztonságot is megerősíthetik. Ennek eléréséhez az Intel saját Clear Linux verziójának alkalmazására van szükség, és persze VT-x kiterjesztésekre, amely a virtuális gépek működését segíti.

A vállalat megközelítése szembemegy a CoreOS-hez hasonlóakkal, azt feltételezi ugyanis, hogy minden konténer saját operációs rendszert kap. Ezt néhányan furcsának gondolják, mivel a konténerizáció egyik legnagyobb lehetősége éppen abban rejlik, hogy elszigetelt applikációk futtathatóak egyetlen rendszeren, így a virtuális gépek mennyisége csökkenthető. A cég állítása szerint a Clear Linux gyorsasága kompenzálja ezt, mivel annyi idő alatt képes felállítani egy virtuális gépet és egy konténert, amennyi más rendszereken csak egy konténer felállítására elegendő. Pontosa adatokkal ugyanakkor nem szolgált a gyártó.

Mindez egyelőre a KVM hypervisor alatt történik, más típusokat a rendszer nem támogat – talán azért, mert a versenytársaknak, így a VMware-nek és a Microsoftnak már vannak saját megoldásaik.

Az Intel egyúttal frissítette Cloud Integrity technológiáját is, amelynek Trusted Execution Technology (TXT) és Trusted Platform Module (TPM) a 3.0-ás verzióban már képesek jól együttműködni az OpenStackkel. Ha a BIOS, a fizikai vagy virtuális gép nem felel meg bizonyos követelményeknek, a rendszer egyszerűen nem áll fel – a hivatalos indoklás szerint azért, hogy biztonságosabb felhőrendszereket teremthessenek.

Forrás: http://www.theregister.co.uk/2015/05/21/intel_wants_containers_to_be_alone_together_naturally/