gVisor
O que é gVisor?
gVisorgVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.
O processo Sentry do gVisor implementa boa parte da superficie de syscalls do Linux em Go em espaco de utilizador, enquanto um pequeno conjunto de syscalls do host e permitido via seccomp-bpf e encaminhado para um Gofer para E/S de sistema de ficheiros. Como os contentores falam com o Sentry em vez de chamarem diretamente o kernel do host, um exploit de kernel na workload tem primeiro de escapar do sandbox de utilizador. O gVisor corre como runtime Docker ou CRI (runsc) e sustenta o Google Cloud Run, App Engine standard e o GKE Sandbox. O custo e compatibilidade incompleta de syscalls e sobrecarga por chamada, tornando-o ideal para workloads efemeras, multi-tenant ou nao confiaveis.
● Exemplos
- 01
Google Cloud Run executa funcoes de clientes em sandboxes gVisor por omissao.
- 02
GKE Sandbox anota pods nao confiaveis com runtimeClassName: gvisor.
● Perguntas frequentes
O que é gVisor?
gVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa gVisor?
gVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.
Como funciona gVisor?
O processo Sentry do gVisor implementa boa parte da superficie de syscalls do Linux em Go em espaco de utilizador, enquanto um pequeno conjunto de syscalls do host e permitido via seccomp-bpf e encaminhado para um Gofer para E/S de sistema de ficheiros. Como os contentores falam com o Sentry em vez de chamarem diretamente o kernel do host, um exploit de kernel na workload tem primeiro de escapar do sandbox de utilizador. O gVisor corre como runtime Docker ou CRI (runsc) e sustenta o Google Cloud Run, App Engine standard e o GKE Sandbox. O custo e compatibilidade incompleta de syscalls e sobrecarga por chamada, tornando-o ideal para workloads efemeras, multi-tenant ou nao confiaveis.
Como se defender contra gVisor?
As defesas contra gVisor costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para gVisor?
Nomes alternativos comuns: runsc, gVisor Sentry.
● Termos relacionados
- cloud-security№ 582
Kata Containers
Kata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware.
- cloud-security№ 838
Pod Security Standards
Os Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
- cloud-security№ 597
Admission Controller do Kubernetes
Um admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes.
- cloud-security№ 602
Kyverno
O Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
- cloud-security№ 599
NetworkPolicy do Kubernetes
NetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo.