IBM研究院找到度量安全性方法：容器 VS 虛擬機，誰更安全？

虛擬機比容器更安全嗎？你可能會有自己的答案，但IBM研究院發現容器的安全性與虛擬機一樣，甚至更加安全。

一般來說，從介面寬度考慮，我們認為hypervisor更安全。

IBM研究院傑出工程師、頂級Linux kernel開發者James Bottomley說，當前容器與Hypervisor安全性的爭論的最大問題之一是沒有度量安全性的通用方法，所以這種爭論是一種定性的比較，目前還沒有人進行定量比較。因此，Bottomley創建了Horizontal Attack Profile（HAP）方法，以一種客觀可度量的方式去描述系統的安全性。Bottomley發現含有精心製作的seccomp profile的Docker容器可以提供與hypervisor幾乎同等的安全性。

Bottomley首先定義了Vertical Attack Profile（VAP），代碼會將輸入、資料庫更新、輸出轉變為一種服務，而代碼本身是含有漏洞的，而且漏洞分布的密度也不同，遍歷的代碼越多，暴露安全漏洞的可能性也就越大。棧安全漏洞利用可以跳入物理伺服器主機或虛擬機，都屬於HAP。

HAP是危害最大的一類安全漏洞，Bottomley稱之為潛在的商業破壞事件。

度量HAP的量化方法是對Linux Kernel代碼的漏洞密度乘以運行穩定後的系統遍歷的代碼數量。簡單來說，給定的應用運行的代碼越多，含有HAP級安全漏洞的可能性就越大。

定義了HAP後，Bottomley運行了多個標準benchmark，包括redis-bench-set、redis-bench-get、python-tornado和node-express。他用Docker、Google的gVisor、gVisor-kvm、Kata容器和Nabla容器。

Bottomley發現Nabla運行時的效果比使用Kata技術的hypervisor要好，也就是說容器系統比hypervisor更安全。

其實，並沒有哪種技術比其他技術更安全。對於一些非常嚴重的安全問題，容器和虛擬機的安全等級是相同的。而Bottomley認為，一般情況下容器的安全性比要hypervisor更加安全一些。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！