Telset.id, Jakarta – Untuk Anda yang menggunakan pusat data virtual alias virtual data center tentu tidak asing dengan istilah container dan mesin virtual atau virtual machine (VM). Pertanyaannya, mana yang lebih aman di antara keduanya?
Kedua perangkat lunak tersebut sebenarnya memiliki keunggulan dan kelemahan masing-masing, karena perbedaan cara kerja, walaupun tujuannya sama-sama mengisolasi beberapa fungsi komputer. Lalu lebih aman menggunakan apa?
Belum lama ini IBM Research telah menemukan bahwa Container sama-sama aman atau bisa lebih aman daripada VM. Demikian seperti dilansir dari ZDnet.
IBM Research Distinguished Engineer dan Pengembang Kernel Linux terkemuka James Bottomley menulis salah satu masalah terbesar dengan perdebatan tentang keamanan Container vs Hypervisor (VM) adalah bahwa tidak seorang pun telah benar-benar mengembangkan cara mengukur keamanan.
“Jadi perdebatannya adalah semua dalam istilah kualitatif (hypervisors merasa lebih aman daripada Container karena luasnya antarmuka), tetapi tidak ada yang benar-benar telah melakukan perbandingan kuantitatif. ” kata Bottomley.
Baca juga: IBM Berhasil Sematkan Data 300TB ke Pita Magnetik Berukuran Kecil
Untuk memenuhi kebutuhan ini, Bottomley menciptakan Profil Serangan Horisontal (HAP), yang dirancang untuk menggambarkan keamanan sistem dengan cara yang dapat diukur secara obyektif.
Disini Bottomley menemukan bahwa Docker Container dengan profil seccomp yang dibuat dengan baik (yang memblokir panggilan sistem yang tak terduga) secara kasar memberikan keamanan setara dengan hypervisor.
Bottomley memulai dengan mendefinisikan Vertical Attack Profile (VAP). Ini semua kode, yang dilalui untuk menyediakan layanan sepanjang jalan dari masukan ke pembaruan basis data ke keluaran. Kode ini, seperti semua program, mengandung bug.
Kepadatan bug bervariasi, tetapi semakin banyak kode yang Anda lewati, semakin besar peluang Anda untuk membuka celah keamanan. Stack security holes exploits, yang dapat melompat ke server fisik atau VM, adalah HAP yakni jenis lubang keamanan terburuk. Bottomley menyebut mereka berpotensi menghancurkan bisnis.
Dia menjelaskan pendekatan kuantitatif untuk mengukur HAP adalah mengambil kerapatan bug dari kode Kernel Linux dan melipatgandakannya dengan jumlah kode unik yang dilalui oleh sistem yang berjalan setelah mencapai keadaan mantap (tidak tampak melintasi jalur kernel baru).
Singkatnya, Anda mengukur berapa banyak baris kode suatu sistem, apakah itu bare metal, VM, atau container – untuk menjalankan aplikasi yang diberikan. Semakin banyak kode yang dijalankan, semakin besar kemungkinan memiliki lubang keamanan HAP.
Dia melakukan tes ini dengan Docker, gVisor, sandboX; gVisor-kvm, Container sandboX yang sama menggunakan KVM, hypervisor bawaan Linux. Kata Containers, open-source VM ringan dan Nabla, tipe Container IBM anyar untuk isolasi server yang kuat.
Bottomley menemukan runtime Nabla memiliki HAP lebih baik daripada hypervisor yang mengandung teknologi Kata. Itu berarti bahwa pihaknya telah mencapai sistem Container dengan HAP yang lebih baik (lebih aman) daripada hypervisor.
Bukan hanya proyek IBM, yang terbukti lebih aman. Dia juga menemukan, “Docker Container dengan profil seccomp yang dibuat dengan baik (yang memblokir panggilan sistem yang tak terduga) memberikan keamanan setara kasar ke hypervisor.
Baca juga: IBM Kembangkan Chip dengan Pemrosesan 5nm
Namun, titik sebenarnya bukanlah teknologi mana yang lebih aman. Itu karena masalah keamanan, kontainer dan VM yang paling parah memiliki tingkat keamanan yang sama.
Memang, Bottomley berpikir sangat mungkin untuk memiliki Container yang lebih aman daripada hypervisor dan meletakkan untuk beristirahat, tapi akhirnya argumen tentang itu adalah teknologi yang lebih aman.
“Langkah selanjutnya adalah menetapkan tingkat penuh paparan terhadap aplikasi jahat dan untuk melakukan itu, beberapa jenis pengujian fuzz perlu digunakan. Saya tidak berharap ini akan menjadi kata terakhir dalam perdebatan, tetapi dengan menjelaskan bagaimana kami melakukannya, saya harap orang lain dapat mengembangkan pengukuran kuantitatif juga,” pungkas dia. [WS/HBS]
Sumber: ZDNet