Kata Containers
¿Qué es Kata Containers?
Kata ContainersKata Containers es un runtime de codigo abierto que envuelve cada contenedor o pod de Kubernetes en una maquina virtual ligera para ofrecer aislamiento de nivel hardware.
Kata Containers, proyecto de la OpenInfra Foundation, arranca un huesped Linux minimo dentro de un hipervisor (QEMU, Cloud Hypervisor o Firecracker) para cada contenedor o pod. Cada carga obtiene su propio kernel, por lo que un exploit de kernel en un contenedor no alcanza al host ni a los vecinos. Kata implementa las interfaces OCI y CRI de Kubernetes mediante shims de containerd/CRI-O, asi que las imagenes y los Pod spec existentes funcionan sin cambios. El coste es un arranque y un consumo de memoria algo mayores que runc; la contrapartida es un limite de aislamiento equivalente a VM, util en cargas multi-tenant o no confiables donde namespaces y seccomp resultan insuficientes.
● Ejemplos
- 01
Una plataforma serverless aisla funciones por tenant en microVMs Firecracker via Kata.
- 02
Un RuntimeClass de Kubernetes envia pods no confiables a kata-qemu y los confiables a runc.
● Preguntas frecuentes
¿Qué es Kata Containers?
Kata Containers es un runtime de codigo abierto que envuelve cada contenedor o pod de Kubernetes en una maquina virtual ligera para ofrecer aislamiento de nivel hardware. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Kata Containers?
Kata Containers es un runtime de codigo abierto que envuelve cada contenedor o pod de Kubernetes en una maquina virtual ligera para ofrecer aislamiento de nivel hardware.
¿Cómo funciona Kata Containers?
Kata Containers, proyecto de la OpenInfra Foundation, arranca un huesped Linux minimo dentro de un hipervisor (QEMU, Cloud Hypervisor o Firecracker) para cada contenedor o pod. Cada carga obtiene su propio kernel, por lo que un exploit de kernel en un contenedor no alcanza al host ni a los vecinos. Kata implementa las interfaces OCI y CRI de Kubernetes mediante shims de containerd/CRI-O, asi que las imagenes y los Pod spec existentes funcionan sin cambios. El coste es un arranque y un consumo de memoria algo mayores que runc; la contrapartida es un limite de aislamiento equivalente a VM, util en cargas multi-tenant o no confiables donde namespaces y seccomp resultan insuficientes.
¿Cómo defenderse de Kata Containers?
Las defensas contra Kata Containers combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Kata Containers?
Nombres alternativos comunes: Kata, Kata runtime.
● Términos relacionados
- cloud-security№ 455
gVisor
gVisor es un kernel de aplicacion de codigo abierto de Google que intercepta las syscalls de los contenedores en espacio de usuario para reducir la superficie de ataque del kernel del host.
- cloud-security№ 838
Pod Security Standards
Los Pod Security Standards (PSS) son perfiles de seguridad definidos por Kubernetes —Privileged, Baseline y Restricted— que codifican la configuracion segura de pods y sustituyen al obsoleto PodSecurityPolicy.
- cloud-security№ 597
Admission Controller de Kubernetes
Un admission controller es un plugin del API server de Kubernetes que intercepta las peticiones autenticadas antes de persistirlas para validar, mutar o rechazar objetos segun politicas.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper es un controlador de politicas de la CNCF que usa Open Policy Agent y el lenguaje Rego para aplicar politicas de admision y auditoria en Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
- cloud-security№ 599
Kubernetes NetworkPolicy
NetworkPolicy de Kubernetes es un recurso namespaced que controla que pods pueden conectarse a otros pods o destinos externos por IP, puerto y protocolo.