导读:本文介绍BlackBox系统架构,其核心组件CSM,提供轻量化安全监控,使容器在不可信操作系统上安全运行。
BlackBox: A Container Security Monitor for Protecting Containers on Untrusted Operating Systems (OSDI‘22)
一、研究背景
容器作为共享计算基础设施的核心,广泛应用于应用程序的部署、打包和隔离。
- 相比于虚拟机技术:容器具有资源占用更少、启动速度更快、IO性能更优的特点。
- 相比于基于硬件Enclave的技术:容器更便于开发,而往往Enclave要求开发者对应用进行代码改写,并带来显著的CPU计算开销。
| 特性 |
虚拟机 |
容器 |
Enclave |
| 性能 |
较低:需要完整虚拟化,开销大 |
较高:直接运行在主机操作系统上,开销小 |
较高:专用硬件支持,但性能受限于可信执行环境(TEE)的设计 |
| 启动速度 |
较慢:启动一个完整的操作系统 |
快:轻量级,启动只需几秒 |
较快:由硬件快速初始化 |
| 资源利用率 |
较低:资源分配固定,可能浪费 |
最低0.47元/天 解锁文章
扫一扫
到【灌水乐园】发言
