gVisor
Qu'est-ce que gVisor ?
gVisorgVisor est un noyau applicatif open source de Google qui intercepte les appels systeme des conteneurs en espace utilisateur, reduisant la surface d'attaque du noyau hote exposee aux charges non fiables.
Le processus Sentry de gVisor implemente une grande partie de la surface des syscalls Linux en Go en espace utilisateur ; seul un petit ensemble de syscalls hotes est autorise via seccomp-bpf et passe par un Gofer pour les I/O. Les conteneurs dialoguent avec Sentry et non directement avec le noyau hote : un exploit noyau dans la charge doit d'abord s'echapper du sandbox utilisateur. gVisor s'execute comme runtime Docker ou CRI (runsc) et alimente Google Cloud Run, App Engine standard et GKE Sandbox. Le compromis est une compatibilite syscall incomplete et un surcout par appel, ce qui rend gVisor surtout adapte aux charges ephemeres, multi-tenant ou non fiables.
● Exemples
- 01
Google Cloud Run execute les fonctions clients dans des sandboxes gVisor par defaut.
- 02
GKE Sandbox annote les pods non fiables avec runtimeClassName: gvisor.
● Questions fréquentes
Qu'est-ce que gVisor ?
gVisor est un noyau applicatif open source de Google qui intercepte les appels systeme des conteneurs en espace utilisateur, reduisant la surface d'attaque du noyau hote exposee aux charges non fiables. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie gVisor ?
gVisor est un noyau applicatif open source de Google qui intercepte les appels systeme des conteneurs en espace utilisateur, reduisant la surface d'attaque du noyau hote exposee aux charges non fiables.
Comment fonctionne gVisor ?
Le processus Sentry de gVisor implemente une grande partie de la surface des syscalls Linux en Go en espace utilisateur ; seul un petit ensemble de syscalls hotes est autorise via seccomp-bpf et passe par un Gofer pour les I/O. Les conteneurs dialoguent avec Sentry et non directement avec le noyau hote : un exploit noyau dans la charge doit d'abord s'echapper du sandbox utilisateur. gVisor s'execute comme runtime Docker ou CRI (runsc) et alimente Google Cloud Run, App Engine standard et GKE Sandbox. Le compromis est une compatibilite syscall incomplete et un surcout par appel, ce qui rend gVisor surtout adapte aux charges ephemeres, multi-tenant ou non fiables.
Comment se défendre contre gVisor ?
Les défenses contre gVisor combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de gVisor ?
Noms alternatifs courants : runsc, Sentry gVisor.
● Termes liés
- cloud-security№ 582
Kata Containers
Kata Containers est un runtime open source qui encapsule chaque conteneur ou pod Kubernetes dans une machine virtuelle legere pour fournir une isolation au niveau materiel.
- cloud-security№ 838
Pod Security Standards
Les Pod Security Standards (PSS) sont des profils de securite definis par Kubernetes — Privileged, Baseline et Restricted — qui codifient la configuration sure des pods et remplacent l'ancien PodSecurityPolicy.
- cloud-security№ 597
Admission Controller Kubernetes
Un admission controller est un plugin de l'API server Kubernetes qui intercepte les requetes authentifiees avant persistance pour valider, muter ou rejeter les objets selon la politique.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper est un controleur de politiques CNCF qui utilise Open Policy Agent et le langage Rego pour appliquer des politiques d'admission et d'audit dans Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno est un moteur de politiques Kubernetes CNCF qui valide, mute et genere des ressources via des politiques ecrites en YAML natif plutot que dans un nouveau DSL.
- cloud-security№ 599
NetworkPolicy Kubernetes
NetworkPolicy Kubernetes est une ressource namespaced qui controle quels pods peuvent se connecter a quels pods ou endpoints externes via IP, port et protocole.