08/05/2019

Kata Containers, un projet libre pour la sécurité des conteneurs

logo KataContainers

Les technologies de conteneurisation ont pris en quelques mois une place irremplaçable dans les applications numériques. Souplesse, standardisation et rapidité de déploiement sont leurs principaux atouts. La fondation OpenStack a décidé d’y adjoindre une plus grande sécurité avec son projet Kata Containers.

Présenté en 2017, ce projet et a été confirmé le 8 avril dernier. Alibaba, Arm, Atlassian, Baidu, Cray, Dell, Ebay, Google, Huawei, IBM, Intel, Microsoft, Nvidia, Oracle, Orange, Red Hat, SUSE ou encore Tencent participent à ce projet. C’est dire l’importance de Kata Containers pour la fondation OpenStack.

C’est à l’occasion de l’événement Open Infrastructure Summit de Denver que les dernières mises à jour du projet ont été communiquées. Au menu du congrès : technologies de conteneurisation et « serverless », le cloud dans tous ses états ! Au cœur de l’actualité, la question principale est de se passer des machines virtuelles en conservant des conteneurs correctement isolés.

kata-explained1@2x

Isoler le noyau Linux du superviseur

Pour répondre à la problématique, Kata Containeurs propose de placer des machines virtuelles légères dans chaque conteneur pour renforcer la sécurité des infrastructures en exploitation.

« Dans un cloud public, des acteurs peuvent avoir une attitude hostile. Les conteneurs ont été faits pour gagner en densité, en provisionning, en rapidité. Mais dans un cloud public, leur isolation pose problème. Les conteneurs tournent sur un même kernel Linux, donc des informations d’une machine peuvent fuiter vers d’autres. Kata Containers propose une réponse à cela », annonce le responsable de l’ingénierie pour la fondation OpenStack Thierry Carrez.

Kata ajoute des machines virtuelles et des hyperviseurs légers comme couche d’isolation des travaux. Ainsi, la sécurité des machines virtuelles est assurée tout en gardant des performances de pointe : la séquence de démarrage des conteneurs est inférieure à la seconde et le redémarrage des machines virtuelles reste contenu dans les dix secondes.

katacontainers_traditionalvskata_diagram

Autre stratégie mise en place par Kata Containers est de libérer les conteneurs du partage du noyau Linux de l’hyperviseur. Kata Containers propose des machines virtuelles modifiées, ne comprenant que le strict minimum du noyau Linux. C’est ce noyau qui sera utilisé par le conteneur. Une conséquence très positive de ce choix : Kata containeurs n’est pas affectée par les failles Spectre.

Source : katacontainers.io

Actualités