Kata Containers
Qu'est-ce que Kata Containers ?
Kata ContainersKata Containers est un runtime open source qui encapsule chaque conteneur ou pod Kubernetes dans une machine virtuelle legere pour fournir une isolation au niveau materiel.
Kata Containers, projet de l'OpenInfra Foundation, lance un invite Linux minimal dans un hyperviseur (QEMU, Cloud Hypervisor ou Firecracker) pour chaque conteneur ou pod. Chaque charge dispose de son propre noyau ; un exploit noyau dans un conteneur ne peut donc atteindre l'hote ni les voisins. Kata expose les interfaces OCI et CRI Kubernetes via des shims containerd/CRI-O : les images et specs Pod existantes fonctionnent sans modification. Le compromis est un temps de boot et une empreinte memoire legerement plus eleves que runc ; en retour on obtient un perimetre d'isolation de niveau VM, adapte aux charges multi-tenant ou non fiables ou namespaces et seccomp sont insuffisants.
● Exemples
- 01
Une plate-forme serverless isole les fonctions par tenant dans des microVM Firecracker via Kata.
- 02
Un RuntimeClass Kubernetes route les pods non fiables vers kata-qemu et garde runc pour les autres.
● Questions fréquentes
Qu'est-ce que Kata Containers ?
Kata Containers est un runtime open source qui encapsule chaque conteneur ou pod Kubernetes dans une machine virtuelle legere pour fournir une isolation au niveau materiel. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Kata Containers ?
Kata Containers est un runtime open source qui encapsule chaque conteneur ou pod Kubernetes dans une machine virtuelle legere pour fournir une isolation au niveau materiel.
Comment fonctionne Kata Containers ?
Kata Containers, projet de l'OpenInfra Foundation, lance un invite Linux minimal dans un hyperviseur (QEMU, Cloud Hypervisor ou Firecracker) pour chaque conteneur ou pod. Chaque charge dispose de son propre noyau ; un exploit noyau dans un conteneur ne peut donc atteindre l'hote ni les voisins. Kata expose les interfaces OCI et CRI Kubernetes via des shims containerd/CRI-O : les images et specs Pod existantes fonctionnent sans modification. Le compromis est un temps de boot et une empreinte memoire legerement plus eleves que runc ; en retour on obtient un perimetre d'isolation de niveau VM, adapte aux charges multi-tenant ou non fiables ou namespaces et seccomp sont insuffisants.
Comment se défendre contre Kata Containers ?
Les défenses contre Kata Containers combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Kata Containers ?
Noms alternatifs courants : Kata, Runtime Kata.
● Termes liés
- cloud-security№ 455
gVisor
gVisor est un noyau applicatif open source de Google qui intercepte les appels systeme des conteneurs en espace utilisateur, reduisant la surface d'attaque du noyau hote exposee aux charges non fiables.
- cloud-security№ 838
Pod Security Standards
Les Pod Security Standards (PSS) sont des profils de securite definis par Kubernetes — Privileged, Baseline et Restricted — qui codifient la configuration sure des pods et remplacent l'ancien PodSecurityPolicy.
- cloud-security№ 597
Admission Controller Kubernetes
Un admission controller est un plugin de l'API server Kubernetes qui intercepte les requetes authentifiees avant persistance pour valider, muter ou rejeter les objets selon la politique.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper est un controleur de politiques CNCF qui utilise Open Policy Agent et le langage Rego pour appliquer des politiques d'admission et d'audit dans Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno est un moteur de politiques Kubernetes CNCF qui valide, mute et genere des ressources via des politiques ecrites en YAML natif plutot que dans un nouveau DSL.
- cloud-security№ 599
NetworkPolicy Kubernetes
NetworkPolicy Kubernetes est une ressource namespaced qui controle quels pods peuvent se connecter a quels pods ou endpoints externes via IP, port et protocole.