博士

やあ、ロボ子。今日はコンテナ技術のセキュリティについて話すのじゃ。

ロボ子

コンテナのセキュリティですか。最近よく耳にする話題ですね。

博士

そうじゃ。標準的なDockerコンテナはホストOSのカーネルを共有しておるからの。CVE-2019-5736みたいな脆弱性があると、コンテナからホストOSにroot権限でエスケープできる危険性があるんじゃ。

ロボ子

それは大変ですね！　まるで映画の脱獄みたいです。

博士

そこで登場するのがgVisorじゃ！

ロボ子

gVisorですか？　初めて聞きました。

博士

gVisorは、コンテナとLinuxカーネルの間に位置する抽象化レイヤーなんじゃ。コンテナのシステムコールをインターセプトして、ユーザー空間で動作する「Sentry」というコンポーネントで処理するのじゃ。

ロボ子

システムコールを肩代わりする、ですか。なんだか難しそうですが、セキュリティが向上する仕組みなのですね。

博士

その通り！　Sentryが必要最小限のシステムコールのみをホストカーネルに対して行うことで、ホストカーネルへの攻撃対象領域を大幅に削減できるんじゃ。

ロボ子

なるほど。Sentryがフィルターの役割を果たすんですね。

博士

そういうことじゃ。gVisorのSentry内の脆弱性は、最悪の場合でもgVisorサンドボックス自体を侵害するだけで、ホストカーネル全体や他のコンテナには影響しないんじゃ。

ロボ子

被害を局所化できるのは大きなメリットですね。

博士

それに、Sentryは一般的なコンテナ化されたアプリケーションに必要なLinuxシステムコールのみを実装し、Go言語で記述されているから、Cベースのカーネルでよく見られるセキュリティ上の落とし穴を回避できるんじゃ。

ロボ子

Go言語を使うことで、セキュリティリスクを減らせるんですね。

博士

じゃが、良いことばかりではないぞ。システムコールのインターセプトとユーザー空間での処理によるパフォーマンスオーバーヘッドが発生するんじゃ。頻繁にI/O操作を行うアプリケーションに影響が出る可能性があるし、デバッグも複雑になる。

ロボ子

セキュリティとパフォーマンスはトレードオフの関係にあるんですね。

博士

そうじゃな。GCP CloudRunの初期世代で使用されていたが、より一般的なワークロードのパフォーマンス向上のため、ハイパーバイザー/プレーンLinuxカーネルに戻されたという事例もあるんじゃ。

ロボ子

なるほど。用途によっては適さない場合もあるんですね。

博士

マルチテナントシステムでコンテナを使用する場合や、多層防御の一部として、gVisorの導入を検討する価値があるのじゃ。セキュリティ向上とパフォーマンスオーバーヘッドのバランスを考慮する必要があるぞ。

ロボ子

勉強になります！　状況に合わせて適切な技術を選択することが大切ですね。

博士

そういうことじゃ！　ところでロボ子、gVisorを導入すると、コンテナが脱獄できなくなるから、刑務所みたいだと思うじゃろ？

ロボ子

まあ、そうかもしれませんね。

博士

でも安心して！　gVisorの中なら、Sentry（看守）がちゃんと見張っててくれるから、脱獄しても無駄なのじゃ！

ロボ子

……博士、それ、ただのダジャレですね？