Google sonne la charge pour la sécurité des conteneurs
Le géant du Web a profité de la Kubecon, qui se déroulait cette semaine à Copenhage, pour multiplier les annonces liées à la sécurité des environnements de conteneurs.
Google vient de dévoiler Asylo, un framework open source qui vise à simplifier le cloisonnement de traitements en conteneurs les plus sensibles. Dans un billet de blog, le géant du Web explique qu’il repose sur une image Docker qui intègre toutes les dépendances nécessaires à son exécution, sur n’importe quel socle matériel proposant un environnement d’exécution de confiance (Trusted Execution Environment, TEE), une enclave en somme. Mais Asylo se veut agnostique : les applications reposant sur ce framework « n’ont pas besoin de tenir compte des spécificités des implémentations de TEE ; il est possible de porter les applications sur différents types d’enclaves sans changer le code ».
A ce stade, Asylo n’est disponible qu’en version très préliminaire, une 0.2, via le Container Registry, mais Google invite déjà à tester son framework. Avec lui, il apparaît répondre à Microsoft qui a levé le voile, en septembre dernier, sur Confidential Computing, une plateforme visant à permettre le confinement de l’exécution de code manipulant des données sensibles en clair dans un environnement d’exécution de confiance, sur Azure.
Confiner les traitements
Mais profitant de la Kubecon, qui se déroulait cette semaine à Copenhage, Google ne s’est pas arrêté à cela. Le géant du Web a également versé en open source gVisor, un bac à sable pour l’exécution confinée de conteneurs qui se veut « plus léger qu’une machine virtuelle ».
GVisor se positionne ainsi comme une couche d’abstraction entre le noyau du système d’exploitation de l’hôte et les conteneurs, permettant un contrôle étendu sur les ressources effectivement accessibles aux applications. De quoi limiter le risque de saut d’un conteneur à l’autre ou au système hôte par un code malveillant.
Et si Google positionne gVisor en alternative à la virtualisation, c’est parce qu’avec lui, l’infrastructure ne souffre pas de la rigidité liée à l’allocation stricte de ressources lors de la création d’une machine virtuelle. Mais la souplesse offerte là par gVisor n’en a pas moins un prix : « une surcharge plus élevée par appel système », notamment.
Dans un billet de blog, Google indique que gVisor s’intègre de manière transparente à Docker et Kubernetes. Ce qui devrait en faire, à terme, une alternative à l’API de sandboxing au sein d’un pod, en cours de formalisation par la communauté Kubernetes.
Des partenaires pour aller plus loin
Enfin, Google a annoncé la possibilité prochaine de gérer les alertes de sécurité pour les conteneurs sur son Cloud Security Command Center (Cloud SCC), annoncé il y a tout juste quelques semaines. Mais ce n’est pas lui qui fournit les capacités de suivi des vulnérabilités ou encore de gestion des politiques de sécurité.
Pour cela, Google s’est associé les services de cinq spécialistes du domaine. Parmi ceux-ci, on compte notamment Aqua Security, Twistlock, et StackRox, l’un des finalistes de l’Innovation Sandbox de l’édition 2018 de RSA Conference. Une demi-surprise : lors d’un récent entretien avec la rédaction, Ali Golshan, l’un des co-fondateurs de StackRox, avait souligné sa proximité avec Google.