虛擬機比容器更安全嗎？你可能會有自己的答案，但IBM研究院發現容器的安全性與虛擬機一樣，甚至更加安全。

　　一般來說，從接口寬度考慮，我們認為hypervisor更安全。

　　IBM研究院杰出工程師、頂級Linux kernel開發者James Bottomley說，當前容器與Hypervisor安全性的爭論的最大問題之一是沒有度量安全性的通用方法，所以這種爭論是一種定性的比較，目前還沒有人進行定量比較。因此，Bottomley創建了Horizontal Attack Profile（HAP）方法，以一種客觀可度量的方式去描述系統的安全性。Bottomley發現含有精心制作的seccomp profile的Docker容器可以提供與hypervisor幾乎同等的安全性。

　　Bottomley首先定義了Vertical Attack Profile（VAP），代碼會將輸入、數據庫更新、輸出轉變為一種服務，而代碼本身是含有漏洞的，而且漏洞分布的密度也不同，遍歷的代碼越多，暴露安全漏洞的可能性也就越大。棧安全漏洞利用可以跳入物理服務器主機或虛擬機，都屬于HAP。

　　HAP是危害最大的一類安全漏洞，Bottomley稱之為潛在的商業破壞事件。

　　度量HAP的量化方法是對Linux Kernel代碼的漏洞密度乘以運行穩定后的系統遍歷的代碼數量。簡單來說，給定的應用運行的代碼越多，含有HAP級安全漏洞的可能性就越大。

　　定義了HAP后，Bottomley運行了多個標準benchmark，包括redis-bench-set、redis-bench-get、python-tornado和node-express。他用Docker、Google的gVisor、gVisor-kvm、Kata容器和Nabla容器。

　　Bottomley發現Nabla運行時的效果比使用Kata技術的hypervisor要好，也就是說容器系統比hypervisor更安全。

　　其實，并沒有哪種技術比其他技術更安全。對于一些非常嚴重的安全問題，容器和虛擬機的安全等級是相同的。而Bottomley認為，一般情況下容器的安全性比要hypervisor更加安全一些。

責任編輯：韓希宇