2015.08.20

코어OS 로켓, 하드웨어 기반 격리 기능으로 컨테이너 보안 강화

Serdar Yegulalp | InfoWorld
도커의 개념을 상당 부분 사용해 대안 컨테이너 시스템으로 주목을 받고 있는 코어OS는 로켓 컨테이너 런타임 개발에 많은 공을 들였다. 보안과 단순성이 가장 큰 우려 사항인 컨테이너 환경에서 현재 0.8버전인 로켓은 인텔이 개발한 기능을 활용해 다른 컨테이너 런타임에서는 찾아볼 수 없는 차별화된 기능을 갖추었다.

로켓 0.8은 인텔의 클리어 컨테이너(Clear Containers) 프로젝트의 개발 성과를 한 단계 더 진전시켰는데, 인텔 프로세서 환경에서 VT-x 명령을 사용해 컨테이너에 하드웨어 격리 기능을 추가했다. 실제로 인텔은 로넷을 사용해 PoC를 구축했다. 현재 이 프로젝트는 코어OS와 인텔 간의 협업이라고 설명해도 될 정도이다. 로켓 0.8 하에서 구동되는 컨테이너는 전체 프로세스 계층구조를 KVM 프로세스 내에 집어 넣는다. 다시 말해 컨테이너의 내용이 호스로부터 완전히 차단된다는 것이다.

이렇게 한층 강화된 격리가 과도한 것으로 여겨질 수 있지만, 이 부분은 현재 컨테이너 기술과 간련해 가장 우려가 큰 부분이다. 대부분의 컨테이너 환경은 일종의 격리 기능을 제공해 컨테이너 기술이 한 데 모이지 않는다고 주장한다. 예를 들어 멀티테넌트 환경에서 이런 정도의 격리는 필수적이다.

더 큰 질문은 로켓의 새로운 기능을 OCI(Open Container Initiative)가 받아 들이는가 이다. OCI는 모든 컨테이너를 하나로 만드는 것을 목표로 하지 않는가. 코어OS의 CTO 브랜든 필립스에 따르면, 코어OS가 제안한 원래의 appc 컨테이너 사양은 컨테이너 관리의 4가지 더소 다른 요소를 맡는데, 패키징, 서명, 공유를 위한 네이밍, 런타임이 그것이다.

필립스는 “현재 OCI가 중점을 두고 있는 것은 런타임 뿐이다”라고 지적하며, appc를 OCI와 조화시키는 작업은 계속 진행할 것이라고 밝혔다.

코어OS는 사례를 통해 관련 기술을 선도하고자 하지만, 도커 역시 비슷한 보안 기술을 제공하고 있다. 최근에 도커는 도커 콘텐트 트러스트(Docker Content Trust)란 도커 컨테이너용 서명 및 인증 메커니즘을 발표했다. 도커는 도커 콘텐츠 트러스트를 공식 도커 레지스트에 추가되는 콘텐츠를 승인하는 옵트인 메커니즘으로 사용하고, 이를 오픈소스 표준으로 제안하고 있다.  editor@itworld.co.kr


2015.08.20

코어OS 로켓, 하드웨어 기반 격리 기능으로 컨테이너 보안 강화

Serdar Yegulalp | InfoWorld
도커의 개념을 상당 부분 사용해 대안 컨테이너 시스템으로 주목을 받고 있는 코어OS는 로켓 컨테이너 런타임 개발에 많은 공을 들였다. 보안과 단순성이 가장 큰 우려 사항인 컨테이너 환경에서 현재 0.8버전인 로켓은 인텔이 개발한 기능을 활용해 다른 컨테이너 런타임에서는 찾아볼 수 없는 차별화된 기능을 갖추었다.

로켓 0.8은 인텔의 클리어 컨테이너(Clear Containers) 프로젝트의 개발 성과를 한 단계 더 진전시켰는데, 인텔 프로세서 환경에서 VT-x 명령을 사용해 컨테이너에 하드웨어 격리 기능을 추가했다. 실제로 인텔은 로넷을 사용해 PoC를 구축했다. 현재 이 프로젝트는 코어OS와 인텔 간의 협업이라고 설명해도 될 정도이다. 로켓 0.8 하에서 구동되는 컨테이너는 전체 프로세스 계층구조를 KVM 프로세스 내에 집어 넣는다. 다시 말해 컨테이너의 내용이 호스로부터 완전히 차단된다는 것이다.

이렇게 한층 강화된 격리가 과도한 것으로 여겨질 수 있지만, 이 부분은 현재 컨테이너 기술과 간련해 가장 우려가 큰 부분이다. 대부분의 컨테이너 환경은 일종의 격리 기능을 제공해 컨테이너 기술이 한 데 모이지 않는다고 주장한다. 예를 들어 멀티테넌트 환경에서 이런 정도의 격리는 필수적이다.

더 큰 질문은 로켓의 새로운 기능을 OCI(Open Container Initiative)가 받아 들이는가 이다. OCI는 모든 컨테이너를 하나로 만드는 것을 목표로 하지 않는가. 코어OS의 CTO 브랜든 필립스에 따르면, 코어OS가 제안한 원래의 appc 컨테이너 사양은 컨테이너 관리의 4가지 더소 다른 요소를 맡는데, 패키징, 서명, 공유를 위한 네이밍, 런타임이 그것이다.

필립스는 “현재 OCI가 중점을 두고 있는 것은 런타임 뿐이다”라고 지적하며, appc를 OCI와 조화시키는 작업은 계속 진행할 것이라고 밝혔다.

코어OS는 사례를 통해 관련 기술을 선도하고자 하지만, 도커 역시 비슷한 보안 기술을 제공하고 있다. 최근에 도커는 도커 콘텐트 트러스트(Docker Content Trust)란 도커 컨테이너용 서명 및 인증 메커니즘을 발표했다. 도커는 도커 콘텐츠 트러스트를 공식 도커 레지스트에 추가되는 콘텐츠를 승인하는 옵트인 메커니즘으로 사용하고, 이를 오픈소스 표준으로 제안하고 있다.  editor@itworld.co.kr


X