OpenStack Summit: Canonical und Docker erstellen neuen Hypervisor
Auf dem in dieser Woche in Paris stattfindenden OpenStack-Summit stellte Mark Shuttleworth unter anderem ein Projekt in Zusammenarbeit mit Docker und der Linux-Container-Gemeinde vor, dass einen Hypervisor zur Absicherung von Containern zum Ziel hat.
Container haben Konjunktur. Das belegt der rasante Aufstieg von Docker in diesem Jahr. Das ist zum Teil der Tatsache geschuldet, dass Container den Hypervisoren den Rang ablaufen, wenn es um die Verwendung von Systemressourcen geht. Das ist allerdings mit dem Nachteil verminderter Sicherheit erkauft, denn ein Container muss relativ viel mit dem darunterliegenden Betriebssystem kommunizieren. Dieser Nachteil ist prinzipbedingt und bisher nicht völlig auszugleichen.
Shuttleworth stellte nun das Projekt LXD vor, das gemeinsam mit Docker und den Entwicklern von Linux-Container LXC einen Betriebssystem-Daemon zum Ziel hat, der als Hypervisor für Container dienen soll und auf Linux-Container aufsetzt. LXD setzt sowohl auf Software als auch auf Hardware. Im Rahmen des Projekts soll Kernel-seitig die Sicherheit erhöht werden, gleichzeitig spricht Canonical mit Hardwareherstellern über Möglichkeiten der Isolation von Containern auf Chip-Ebene. LXD soll die Sicherheit herkömmlicher Hypervisoren mit der Leichtgewichtigkeit und Geschwindigkeit von Containern paaren. Dabei kann eine große Anzahl an Containern in einer virtuellen Maschine Platz finden. Shuttleworth spricht von sechs Monaten Entwicklungszeit und stellt klar, dass das Produkt Open Source sein wird. Weitere technische Einzelheiten zu LXD stehen derzeit noch aus. Das Projekt hat allerdings auch einen Pferdefuß: Es lässt als Host und als Gast nur Linux zu.
Google verwendet diese Methode hausintern schon länger, um Container abzusichern. Sicherheitsexperten wie der bei Red Hat angestellte Daniel Walsh machen sich in einer dreiteiligen Artikelserie ebenfalls Gedanken um die Sicherheit bei Containern. Auch Microsofts CEO für die Cloud-Plattform Azure, Mark Russinovich, äußerte anlässlich der Partnerschaft von Microsoft und Docker ebenfalls Bedenken bezüglich der Sicherheit von Containern.