IBM’s nieuwe Nabla-containers beloven meer veiligheid

IBM heeft een nieuw container-ontwerp gepresenteerd. Het bedrijf claimt dat zijn oplossing veiliger is dan Docker of andere containers, vooral door het aantal keren dat beroep gedaan wordt op een besturingssysteem te minimaliseren. Daardoor is de tijd waarin er een aanval gepleegd kan worden zo klein mogelijk gemaakt.

De vrees van veel bedrijven rond containers, is dat ze minder veilig zijn dan virtuele machines. IBM denkt daar een antwoord op gevonden te hebben met de Nabla containers. Die zijn veiliger dan andere rivaliserende containerontwerpen, stelt het bedrijf tegenover de site ZDNet.

Minder ruimte laten

Er zijn twee soorten problemen als het aankomt op de veiligheid van containers en virtuele machines. Ze vallen in de categorieën Vertical Attack Profile (VAP) of Horizontal Attack Profile (HAP). Een VAP draait om de code, die bugs zal bevatten. Hoeveel bugs hangt af van de hoeveelheid code, maar volgens IBM kom je ze onherroepelijk tegen. Verder zijn er HAP-aanvallen die niet veel voorkomen, maar “mogelijk bedrijven compleet verwoesten”.

Het antwoord op aanvallen in die laatste categorie van IBM is Nabla. Het ontwerp van de nieuwe container is gebaseerd op dat van een sandbox. Het geheel zorgt ervoor dat de communicatie tussen de container en het besturingssysteem zo minimaal mogelijk gehouden wordt. Daardoor is de ruimte voor hackers kleiner.

Nabla werkt door de typische hypervisor-interface van VM’s te vervangen met syscalls. Daardoor kunnen er direct componenten van een systeem gebruikt worden, in plaats van dat de verzoeken via het besturingssysteem moeten lopen. Dat maakt het geheel een stuk veiliger, stelt IBM.