Containers hebben een serieus probleem

Een project onder de vlag van de OpenStack Foundation genaamd Kata Containers, maakt daar een eind aan door een combinatie van het beste van containers en het beste van virtual machines. Na de eerste officiële release van Kata Containers in mei vorig jaar is nu versie 1.7 bijna klaar. En er zijn inmiddels klinkende namen die de technologie inzetten voor hun cloudapplicaties en bijdragen aan de ontwikkeling van het project, zoals Alibaba, Adobe, Baidu, Google, Huawei en ZTE.

Het draaien van een cloudapplicatie in een container heeft het grote voordeel ten opzichte van het gebruik van een virtual machine dat niet elke applicatie zijn eigen besturingssysteem krijgt, maar dat er van een gemeenschappelijke onderliggende infrastructuur gebruik wordt gemaakt.

Er zitten echter fundamentele zwakheden in containertechnologie. Die maken het mogelijk dat kwaadwillenden uit de container breken en het onderliggende besturingssysteem overnemen, inclusief andere containers die op dezelfde infrastuctuur draaien. "Er wordt wel gezegd: 'containers actually don't contain' omdat ze gebruik maken van zoveel services uit de onderliggende laag", zegt Thierry Carrez van het Kata Container Project.

Het Kata Container-project is in december 2017 gestart - onder meer door Intel - met als doel veiliger containers te bouwen. In essentie komt het erop neer dat de mogelijkheden die containers hebben om direct de Linux-onderlaag aan te spreken zijn omgezet van interactie naar read-only. In de container zelf is een uitgeklede Linux kernel om die taken af te handelen die interactie vereisen, bovenop een hardware virtualisatielaag. Eigenlijk is er dus sprake van een lichtgewicht virtual machine.
Kwetsbaarheden leiden nu hooguit tot toegang tot de containerkernel maar de onderliggende complete Linux-infrastructuur is veilig. 

Platform- en applicatieagnostisch

"Het is geen andere manier van isolatie maar het is een toegevoegde manier van isolatie om containers veiliger te maken", zegt Carrez. Dat betekent ook dat de beveiliging met Kata Container-technologie gebruikt kan worden in combinatie met verschillende klassieke containers zoals Docker, maar ook met Kubernetes. In het geval van Docker containers vindt de beveiliging plaats op het niveau van individuele containers. Bij gebruik in combinatie met Kubernetes vindt de beveiliging plaats op het niveau van 'pods'.

Ook kunnen verschillende hypervisor-technologieën worden ingezet. Eind vorig jaar nog kwam AWS met een nieuwe minimalistische hypervisor genaamd Firecracker. In twee maanden tijd waren Kata Containers ook te gebruiken in combinatie met Firecracker. Om de interoperabiliteit te verzekeren ondersteunt het project de standaarden van het Open Container Initiative. Voor organisaties die dus al gebruik maken van containers, is het heel makkelijk een overstap te maken naar de veiligere vorm, stelt Carrez. "Kata is platform- en applicatie-agnostisch."

Kata Containers leveren door het gebruik van lichtgewicht virtual machines wel in op het geheugengebruik en de snelheid ten opzichte van klassieke containers, maar presteren nog altijd veel beter dan klassieke virtual machines terwijl wel een vergelijkbaar niveau van beveiliging kan worden bereikt. 

Chinese aandacht

Opvallend is het grote aantal Chinese bedrijven dat betrokken is bij dit project dat de beveiliging nastreeft. Dat roept de vraag op of de Chinese overheid niet via deze bedrijven eist dat zij toegang krijgt tot applicaties die in deze containers draaien. "Een belangrijke vraag", zegt Carrez. "Maar de regel in deze opensourceprojecten is dat elke bijdrage aan de code door twee onafhankelijke organisaties wordt gereviewd, en als er sprake is van beveiligingsaspecten kijken er nog meer mensen naar. Het risico is er altijd maar ik denk dat we het risico geminimaliseerd hebben met deze werkwijze."