技術界中的虛擬機器、容器和沙箱的關係

FinFish發表於2022-11-16

首先,什麼是沙箱?

它本身就是一種線下生活現象的虛擬化。現實世界裡,小孩子們在沙地、沙灘上用木板隔離出一個方盒子,在盒子裡堆砌、創造各種東西 - 城堡、房屋、山丘... 這就是一個沙箱。
它有兩個根本特點:
1、它有邊界,透過木板設定了遊戲創造的範圍只在圍牆內;
2、它的遊戲材料是沙,任何的創造,一抹就平,瞬間無影無蹤不留痕跡。
這兩個特點,在計算機世界被模擬了。在一臺裝置(不管是一臺伺服器還是一個手機,我們稱之為“宿主”)中,透過軟硬體手段的結合,可以模擬出一個“管控”區域,它的裡面是預先指定、劃分出來的運算與儲存資源,與宿主的其他資源完全隔離。應用程式碼可以被丟到這個區域裡執行,即使它是病毒、木馬、DDoS攻擊軟體,它也只能在這麼一個資源受限的模擬世界折騰,它就像在Matrix裡的人,看不到宿主裡其他的平行世界,甚至不知道宿主的存在,無法濫用宿主資源從而毀滅宿主(和其他平行世界)。此外,任何這樣的區域,既然是模擬的,不管裡面跑著什麼,都可以被“一鍵刪除”,一切歸零。

虛擬機器、容器和沙箱是什麼關係?

虛擬機器和容器技術都可以看作是沙箱的不同表現。
虛擬機器和容器。前者是對硬體的虛擬化,後者則更像是作業系統的虛擬化。兩者都提供了沙箱的能力:虛擬機器透過硬體級抽象提供,而容器則使用公共核心提供程式級的隔離。
具體來說:
容器是一種對應用進行打包、分享和部署的現代化方式。與把所有功能打包為單一軟體的單體應用,容器化應用或微服務的設計目標是專注於單一任務。容器中包含要完成這一任務所需的所有依賴專案(包、庫和一些二進位制檔案)。正因如此,容器化應用是平臺無關的,能夠在任何作業系統上執行,並不在意其版本或者已部署軟體。這給開發人員帶來了極大的方便!
當容器在主機上完成部署之後,每個容器的資源,例如檔案系統、程式和網路棧都會被安置在一個虛擬的隔離環境之中,其它容器無法訪問這一隔離環境。這個技術能夠在一個叢集內同時執行幾百或幾千個容器,容器化應用能夠輕鬆的透過複製容器例項的方式進行伸縮。
容器執行時為每個容器模擬一個作業系統,虛擬機器(VMM)則為每個虛擬機器模擬一個硬體環境,容器共享主機作業系統的核心以及物理硬體,虛擬機器共享主機的物理硬體。因為容器從主機上共享的資源更多,它們對儲存、記憶體以及 CPU 的利用比虛擬機器更加有效。然而共享越多,其代價就是容器之間、容器和主機之間的信任邊界就越模糊。虛擬機器和容器的架構差異如下:



技術界中的虛擬機器、容器和沙箱的關係


相對於名稱空間隔離技術而言,虛擬化硬體隔離通常會有更好的安全邊界。容器(程式)中逃出的攻擊者,往往比虛擬機器中逃出的攻擊者具有更大的威脅。名稱空間和 cgroup 的弱隔離是造成這種風險的原因。

這些安全性方面的擔憂,促使開發人員不斷為容器構建更強的信任邊界。具體的解決方式就是建立一個真正的沙箱容器。以近期瞭解的前端安全沙箱技術 FinClip為例,這是一種嵌入式安全沙箱,又被稱之為小程式容器,它的本質其實是建立在Security Capability model基礎上的瀏覽器核心的擴充套件,其沙箱的特點,體現在三個方面:
1、沙箱內小程式之間的隔離。 2、沙箱對執行其中的小程式程式碼,隔離其對宿主環境的資源訪問。 3、沙箱隔離了宿主對於沙箱中執行的小程式所產生的資料。
具體來說, FinClip 為業務程式碼提供一個封閉的安全沙箱,有效對抗外部程式碼的干擾和資料 洩露風險;第三方App只能透過SDK暴露的介面啟動SDK,SDK完全管控對業務 程式碼所需要的執行環境以及業務程式碼所有對外通訊,可以透過多種機制保證網路 通訊不被攔截和干擾;SDK 內部使用獨立的瀏覽器核心,執行環境與系統瀏覽器 完全隔離 (在 Android 上)。
技術界中的虛擬機器、容器和沙箱的關係
編輯 切換為居中
新增圖片註釋,不超過 140 字(可選)



這種安全沙箱中執行的主要是輕應用、小程式,在應用正規化上相容網際網路主流的小程式規範,應用落地的門檻很低,能迅速投入應用。對於對接大量外部應用的企業來說,這個設計是非常巧妙的。換句話說,不管小程式的“供應商”是誰,它們的程式碼都被隔離、同時也被保護在沙箱環境中。



來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70021577/viewspace-2923547/,如需轉載,請註明出處,否則將追究法律責任。

相關文章