VM

My VM is Lighter (and Safer) than your Container SOSP ‘17 발표 논문 논문 링크 Motivation Core Problems 이 논문은 클라우드 컴퓨팅 및 분산 시스템의 근본적 딜레마인 가상 머신 (Virtual Machine) 의 격리 및 보안 컨테이너의 효율성 사이의 트레이드오프를 해결하고자 하는 논문입니다. 도커와 같은 컨테이너는 빠른 인스턴스화 시간, 낮은 메모리 사용량, 높은 density를 통해 마이크로서비스, 서버리스 컴퓨팅, 네트워크 가상화와 같은 use case들을 가능하게 하며 많은 인기를 얻었습니다. 그러나 컨테이너는 호스트 OS의 커널을 공유함으로써 작동하며 이로 인해 심각한 보안 취약점을 야기합니다. Linux를 예로 들면 약 400개가 넘는 시스템 콜 API가 있으며, 컨테이너는 이 시스템 콜을 기반으로 호스트 OS와 상호작용합니다. 이러한 구조로 인해 VM의 메모리 격리와 CPU ring을 통한 하드웨어적 protection과는 대조적으로 수많은 익스플로잇 및 공동 상주 컨테이너에 대한 DoS 위협에 노출됩니다. ...