Kata Containers
O que é Kata Containers?
Kata ContainersKata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware.
Kata Containers, projeto da OpenInfra Foundation, lanca um convidado Linux minimo dentro de um hypervisor (QEMU, Cloud Hypervisor ou Firecracker) para cada contentor ou pod. Cada workload tem o seu proprio kernel, pelo que um exploit de kernel num contentor nao alcanca o host nem vizinhos. O Kata expoe as interfaces OCI e CRI do Kubernetes via shims containerd/CRI-O, mantendo as imagens e especificacoes de Pod existentes sem alteracoes. O custo e um tempo de arranque e consumo de memoria ligeiramente superiores ao runc; o ganho e uma fronteira de isolamento ao nivel de VM, adequada a workloads multi-tenant ou nao confiaveis em que namespaces e seccomp sao insuficientes.
● Exemplos
- 01
Plataforma serverless isola funcoes por tenant em microVMs Firecracker via Kata.
- 02
RuntimeClass do Kubernetes envia pods nao confiaveis para kata-qemu e mantem runc para os restantes.
● Perguntas frequentes
O que é Kata Containers?
Kata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Kata Containers?
Kata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware.
Como funciona Kata Containers?
Kata Containers, projeto da OpenInfra Foundation, lanca um convidado Linux minimo dentro de um hypervisor (QEMU, Cloud Hypervisor ou Firecracker) para cada contentor ou pod. Cada workload tem o seu proprio kernel, pelo que um exploit de kernel num contentor nao alcanca o host nem vizinhos. O Kata expoe as interfaces OCI e CRI do Kubernetes via shims containerd/CRI-O, mantendo as imagens e especificacoes de Pod existentes sem alteracoes. O custo e um tempo de arranque e consumo de memoria ligeiramente superiores ao runc; o ganho e uma fronteira de isolamento ao nivel de VM, adequada a workloads multi-tenant ou nao confiaveis em que namespaces e seccomp sao insuficientes.
Como se defender contra Kata Containers?
As defesas contra Kata Containers costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Kata Containers?
Nomes alternativos comuns: Kata, Kata runtime.
● Termos relacionados
- cloud-security№ 455
gVisor
gVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.
- cloud-security№ 838
Pod Security Standards
Os Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
- cloud-security№ 597
Admission Controller do Kubernetes
Um admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes.
- cloud-security№ 602
Kyverno
O Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
- cloud-security№ 599
NetworkPolicy do Kubernetes
NetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo.