gVisor
¿Qué es gVisor?
gVisorgVisor es un kernel de aplicacion de codigo abierto de Google que intercepta las syscalls de los contenedores en espacio de usuario para reducir la superficie de ataque del kernel del host.
El proceso Sentry de gVisor implementa una parte sustancial de la superficie de syscalls de Linux en Go en espacio de usuario, mientras que un conjunto reducido de syscalls del host se permite via seccomp-bpf y se enruta a un Gofer para la E/S de sistema de archivos. Como los contenedores hablan con Sentry y no directamente con el kernel del host, un exploit de kernel debe salir primero del sandbox de usuario. gVisor se ejecuta como runtime de Docker o CRI (runsc) y respalda Google Cloud Run, App Engine standard y GKE Sandbox. El precio es compatibilidad incompleta de syscalls y sobrecoste por llamada, lo que lo hace mas util en cargas efimeras, multi-tenant o no confiables.
● Ejemplos
- 01
Google Cloud Run ejecuta funciones de clientes dentro de sandboxes gVisor por defecto.
- 02
GKE Sandbox anota pods no confiables con runtimeClassName: gvisor.
● Preguntas frecuentes
¿Qué es gVisor?
gVisor es un kernel de aplicacion de codigo abierto de Google que intercepta las syscalls de los contenedores en espacio de usuario para reducir la superficie de ataque del kernel del host. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa gVisor?
gVisor es un kernel de aplicacion de codigo abierto de Google que intercepta las syscalls de los contenedores en espacio de usuario para reducir la superficie de ataque del kernel del host.
¿Cómo funciona gVisor?
El proceso Sentry de gVisor implementa una parte sustancial de la superficie de syscalls de Linux en Go en espacio de usuario, mientras que un conjunto reducido de syscalls del host se permite via seccomp-bpf y se enruta a un Gofer para la E/S de sistema de archivos. Como los contenedores hablan con Sentry y no directamente con el kernel del host, un exploit de kernel debe salir primero del sandbox de usuario. gVisor se ejecuta como runtime de Docker o CRI (runsc) y respalda Google Cloud Run, App Engine standard y GKE Sandbox. El precio es compatibilidad incompleta de syscalls y sobrecoste por llamada, lo que lo hace mas util en cargas efimeras, multi-tenant o no confiables.
¿Cómo defenderse de gVisor?
Las defensas contra gVisor combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para gVisor?
Nombres alternativos comunes: runsc, gVisor Sentry.
● Términos relacionados
- cloud-security№ 582
Kata Containers
Kata Containers es un runtime de codigo abierto que envuelve cada contenedor o pod de Kubernetes en una maquina virtual ligera para ofrecer aislamiento de nivel hardware.
- cloud-security№ 838
Pod Security Standards
Los Pod Security Standards (PSS) son perfiles de seguridad definidos por Kubernetes —Privileged, Baseline y Restricted— que codifican la configuracion segura de pods y sustituyen al obsoleto PodSecurityPolicy.
- cloud-security№ 597
Admission Controller de Kubernetes
Un admission controller es un plugin del API server de Kubernetes que intercepta las peticiones autenticadas antes de persistirlas para validar, mutar o rechazar objetos segun politicas.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper es un controlador de politicas de la CNCF que usa Open Policy Agent y el lenguaje Rego para aplicar politicas de admision y auditoria en Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
- cloud-security№ 599
Kubernetes NetworkPolicy
NetworkPolicy de Kubernetes es un recurso namespaced que controla que pods pueden conectarse a otros pods o destinos externos por IP, puerto y protocolo.