LXC 对于 IaaS 来说足够安全吗?
Is LXC can be secure enough for IaaS?
我在 Debian 手册上发现了一些关于 LXC 的隔离限制。
这些限制大约是:
- 内存隔离
- 共享文件系统
- 内核消息
- 内核妥协的可能性
对于内存隔离和文件系统,这似乎不是问题,因为可以配置容器来隔离它们。但是有一种方法可以充分保护内核以确保不受信任的用户无法破坏内核并且无法读取消息内核?
如果可能的话,这种受限制的用户访问是否限制了 IaaS?或者使用真正的虚拟化或准虚拟化来提供 IaaS 解决方案不是更好吗?
所有 Linux 个容器仍然 运行 在一个内核下。如果所述内核受到威胁,并且由于该内核 运行ning 处于最高特权硬件模式(x86 为 ring 0),它可能会影响每个容器 运行ning。对于传统的硬件虚拟化,即使一个来宾内核受到威胁,管理程序基本上存在于另一个保护环(再次是 x86 术语)中以隔离虚拟来宾。当然,假设在其实现中存在错误,则可能会危及管理程序,但危及虚拟机不会直接影响其他来宾。
此外,受感染的来宾可能会通过(虚拟化)网络间接影响其他来宾,即发送恶意消息,但这类似于网络中的一台机器受到危害并对另一台机器做同样的事情,而没有虚拟化。此外,受感染的来宾可能会开始通过微架构元素影响其他机器的性能,例如抖动缓存,或使用所述微架构元素作为侧信道攻击来获取有关其他虚拟机的一些信息。
我在 Debian 手册上发现了一些关于 LXC 的隔离限制。
这些限制大约是:
- 内存隔离
- 共享文件系统
- 内核消息
- 内核妥协的可能性
对于内存隔离和文件系统,这似乎不是问题,因为可以配置容器来隔离它们。但是有一种方法可以充分保护内核以确保不受信任的用户无法破坏内核并且无法读取消息内核?
如果可能的话,这种受限制的用户访问是否限制了 IaaS?或者使用真正的虚拟化或准虚拟化来提供 IaaS 解决方案不是更好吗?
所有 Linux 个容器仍然 运行 在一个内核下。如果所述内核受到威胁,并且由于该内核 运行ning 处于最高特权硬件模式(x86 为 ring 0),它可能会影响每个容器 运行ning。对于传统的硬件虚拟化,即使一个来宾内核受到威胁,管理程序基本上存在于另一个保护环(再次是 x86 术语)中以隔离虚拟来宾。当然,假设在其实现中存在错误,则可能会危及管理程序,但危及虚拟机不会直接影响其他来宾。
此外,受感染的来宾可能会通过(虚拟化)网络间接影响其他来宾,即发送恶意消息,但这类似于网络中的一台机器受到危害并对另一台机器做同样的事情,而没有虚拟化。此外,受感染的来宾可能会开始通过微架构元素影响其他机器的性能,例如抖动缓存,或使用所述微架构元素作为侧信道攻击来获取有关其他虚拟机的一些信息。