Sandboxing and Workload Isolation
В сегодняшней статье речь пойдет об изоляции рабочих нагрузок в контейнерной среде для сокращения поверхности атаки. Автор статьи расскажет, какие решения были рассмотрены для выбора песочницы и почему был выбран Firecracker. В статье также можно почитать, почему не подходит метод разделения привилегий, что, по его мнению, стоит изолировать в песочнице, а также, что такое Lightweight Virtualization и Kata Containers и какие есть подводные камни. В статье также упоминаются песочницы nsjail и minijail от Google, песочницы от Cloudflare.
Вот также небольшое исследование про Firecrecker: Lightweight Virtualization for Serverless Applications.
https://fly.io/blog/sandboxing-and-workload-isolation/
#tools #docker #k8s ops
В сегодняшней статье речь пойдет об изоляции рабочих нагрузок в контейнерной среде для сокращения поверхности атаки. Автор статьи расскажет, какие решения были рассмотрены для выбора песочницы и почему был выбран Firecracker. В статье также можно почитать, почему не подходит метод разделения привилегий, что, по его мнению, стоит изолировать в песочнице, а также, что такое Lightweight Virtualization и Kata Containers и какие есть подводные камни. В статье также упоминаются песочницы nsjail и minijail от Google, песочницы от Cloudflare.
Вот также небольшое исследование про Firecrecker: Lightweight Virtualization for Serverless Applications.
https://fly.io/blog/sandboxing-and-workload-isolation/
#tools #docker #k8s ops