Kata Containers
Was ist Kata Containers?
Kata ContainersKata Containers ist eine Open-Source-Runtime, die jeden Container oder Kubernetes-Pod in eine leichtgewichtige virtuelle Maschine kapselt und damit Isolation auf Hardware-Ebene bietet.
Kata Containers, ein Projekt der OpenInfra Foundation, startet fuer jeden Container oder Pod einen minimalen Linux-Gast in einem Hypervisor (QEMU, Cloud Hypervisor oder Firecracker). Jede Workload erhaelt einen eigenen Kernel; ein Kernel-Exploit in einem Container kann weder Host noch Nachbar-Workloads erreichen. Kata implementiert die OCI- und Kubernetes-CRI-Schnittstellen ueber containerd/CRI-O-Shims, sodass vorhandene Images und Pod-Specs unveraendert laufen. Im Tausch gegen leicht hoehere Bootzeit und Speichernutzung im Vergleich zu runc gewinnt man eine VM-starke Isolationsgrenze, geeignet fuer Multi-Tenant- oder untrusted Workloads, wo Namespaces und Seccomp nicht reichen.
● Beispiele
- 01
Eine Serverless-Plattform isoliert Tenant-Funktionen ueber Kata in Firecracker-microVMs.
- 02
Eine Kubernetes-RuntimeClass leitet untrusted Pods an kata-qemu, vertrauenswuerdige bleiben auf runc.
● Häufige Fragen
Was ist Kata Containers?
Kata Containers ist eine Open-Source-Runtime, die jeden Container oder Kubernetes-Pod in eine leichtgewichtige virtuelle Maschine kapselt und damit Isolation auf Hardware-Ebene bietet. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Kata Containers?
Kata Containers ist eine Open-Source-Runtime, die jeden Container oder Kubernetes-Pod in eine leichtgewichtige virtuelle Maschine kapselt und damit Isolation auf Hardware-Ebene bietet.
Wie funktioniert Kata Containers?
Kata Containers, ein Projekt der OpenInfra Foundation, startet fuer jeden Container oder Pod einen minimalen Linux-Gast in einem Hypervisor (QEMU, Cloud Hypervisor oder Firecracker). Jede Workload erhaelt einen eigenen Kernel; ein Kernel-Exploit in einem Container kann weder Host noch Nachbar-Workloads erreichen. Kata implementiert die OCI- und Kubernetes-CRI-Schnittstellen ueber containerd/CRI-O-Shims, sodass vorhandene Images und Pod-Specs unveraendert laufen. Im Tausch gegen leicht hoehere Bootzeit und Speichernutzung im Vergleich zu runc gewinnt man eine VM-starke Isolationsgrenze, geeignet fuer Multi-Tenant- oder untrusted Workloads, wo Namespaces und Seccomp nicht reichen.
Wie schützt man sich gegen Kata Containers?
Schutzmaßnahmen gegen Kata Containers kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Kata Containers?
Übliche alternative Bezeichnungen: Kata, Kata-Runtime.
● Verwandte Begriffe
- cloud-security№ 455
gVisor
gVisor ist ein Open-Source-Application-Kernel von Google, der Container-Syscalls im User-Space abfaengt und damit die Host-Kernel-Angriffsflaeche fuer untrusted Workloads drastisch verkleinert.
- cloud-security№ 838
Pod Security Standards
Pod Security Standards (PSS) sind von Kubernetes definierte Sicherheitsprofile — Privileged, Baseline und Restricted — die sichere Pod-Konfiguration kodifizieren und das veraltete PodSecurityPolicy ersetzen.
- cloud-security№ 597
Kubernetes Admission Controller
Ein Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper ist ein CNCF-Policy-Controller, der Open Policy Agent und die Sprache Rego nutzt, um Admission- und Audit-Policies fuer Kubernetes-Ressourcen durchzusetzen.
- cloud-security№ 602
Kyverno
Kyverno ist eine CNCF-Kubernetes-Policy-Engine, die Ressourcen ueber in nativem YAML formulierte Policies validiert, mutiert und erzeugt, statt eine neue DSL einzufuehren.
- cloud-security№ 599
Kubernetes NetworkPolicy
Eine Kubernetes-NetworkPolicy ist eine namespaced Ressource, die anhand von IP, Port und Protokoll regelt, welche Pods sich mit welchen Pods oder externen Zielen verbinden duerfen.