gVisor.

gVisor は Google が公開するアプリケーションカーネルで、ユーザ空間でコンテナのシステムコールを横取りし、ホストカーネルの攻撃面を大幅に縮小します。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

gVisor は Google が公開するアプリケーションカーネルで、ユーザ空間でコンテナのシステムコールを横取りし、ホストカーネルの攻撃面を大幅に縮小します。

gVisor の Sentry プロセスは Linux のシステムコール面の大部分を Go によるユーザ空間実装で提供し、ホスト側に許可するシステムコールは seccomp-bpf でごく一部に絞り、ファイル I/O は Gofer を経由します。コンテナはホストカーネルに直接ではなく Sentry に話しかけるため、ワークロード内のカーネル悪用はまずユーザ空間サンドボックスを突破する必要があります。gVisor は Docker や CRI のランタイム(runsc)として動作し、Google Cloud Run、App Engine standard、GKE Sandbox を支えています。代償としてシステムコール互換性が完全ではなく呼び出しごとのオーバーヘッドも発生するため、短命・マルチテナント・非信頼ワークロードに最も適しています。

gVisor に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: runsc, gVisor Sentry。