Capítulo 8. Reforzar el aislamiento de los contenedores

Ya en los Capítulos 3 y4, viste cómo los contenedores crean cierta separación entre las cargas de trabajo aunque se ejecuten en el mismo host. En este capítulo, conocerás algunas herramientas y técnicas más avanzadas que pueden utilizarse para reforzar el aislamiento entre cargas de trabajo.

Supón que tienes dos cargas de trabajo y no quieres que puedan interferir entre sí. Un método es aislarlas para que no se conozcan entre sí, que es lo que hacen los contenedores y las máquinas virtuales. Otro enfoque consiste en limitar las acciones que esas cargas de trabajo pueden realizar, de modo que incluso si una carga de trabajo es consciente de algún modo de la otra, no pueda realizar acciones que afecten a esa carga de trabajo. Aislar una aplicación para que tenga acceso limitado a los recursos se conoce como sandboxing.

Cuando ejecutas una aplicación como contenedor, el contenedor actúa como un objeto conveniente para el sandboxing. Cada vez que inicias un contenedor, sabes qué código de la aplicación se supone que se ejecuta dentro de ese contenedor. Si la aplicación se viera comprometida, el atacante podría intentar ejecutar código que está fuera del comportamiento normal de esa aplicación. Utilizando mecanismos de sandboxing, podemos limitar lo que ese código puede hacer, restringiendo la capacidad del atacante ...