gVisor
O que é gVisor?
gVisorgVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.
O processo Sentry do gVisor implementa boa parte da superficie de syscalls do Linux em Go em espaco de utilizador, enquanto um pequeno conjunto de syscalls do host e permitido via seccomp-bpf e encaminhado para um Gofer para E/S de sistema de ficheiros. Como os contentores falam com o Sentry em vez de chamarem diretamente o kernel do host, um exploit de kernel na workload tem primeiro de escapar do sandbox de utilizador. O gVisor corre como runtime Docker ou CRI (runsc) e sustenta o Google Cloud Run, App Engine standard e o GKE Sandbox. O custo e compatibilidade incompleta de syscalls e sobrecarga por chamada, tornando-o ideal para workloads efemeras, multi-tenant ou nao confiaveis.
● Exemplos
- 01
Google Cloud Run executa funcoes de clientes em sandboxes gVisor por omissao.
- 02
GKE Sandbox anota pods nao confiaveis com runtimeClassName: gvisor.
● Perguntas frequentes
O que é gVisor?
gVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa gVisor?
gVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.
Como se defender contra gVisor?
As defesas contra gVisor costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para gVisor?
Nomes alternativos comuns: runsc, gVisor Sentry.