Kapitel 8. Verstärkung der Container-Isolierung
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
In den Kapiteln 3 und4 hast du gesehen, wie Container eine gewisse Trennung zwischen Workloads schaffen, obwohl sie auf demselben Host laufen. In diesem Kapitel lernst du einige fortgeschrittene Tools und Techniken kennen, mit denen du die Isolierung zwischen den Workloads verstärken kannst.
Angenommen, du hast zwei Workloads und möchtest nicht, dass sie sich gegenseitig stören. Eine Möglichkeit besteht darin, sie so zu isolieren, dass sie sich gegenseitig nicht bemerken, was im Grunde genommen genau das ist, was Container und virtuelle Maschinen tun. Ein anderer Ansatz besteht darin, die Aktionen dieser Workloads einzuschränken, so dass selbst wenn eine Workload von der anderen Kenntnis hat, sie nicht in der Lage ist, Aktionen durchzuführen, die diese Workload beeinflussen. Eine Anwendung so zu isolieren, dass sie nur begrenzten Zugriff auf Ressourcen hat, wird als Sandboxing bezeichnet.
Wenn du eine Anwendung als Container ausführst, dient der Container als praktisches Objekt für das Sandboxing. Jedes Mal, wenn du einen Container startest, weißt du, welcher Anwendungscode in diesem Container ausgeführt werden soll. Wenn die Anwendung kompromittiert wird, könnte der Angreifer versuchen, Code auszuführen, der nicht dem normalen Verhalten der Anwendung entspricht. Durch den Einsatz von Sandboxing-Mechanismen ...
Get Container Sicherheit now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
