Der Unterschied zwischen Containern und VMs liegt hauptsächlich in der Position der Virtualisierungsschicht und der Art und Weise, wie Betriebssystemressourcen genutzt werden. Container und VMs sind einfach verschiedene Möglichkeiten, Rechenressourcen – Prozessoren, Memory und E/A – bereitzustellen und zu nutzen, die bereits in einem physischen Computer vorhanden sind. Obwohl das Ziel der Virtualisierung dasselbe ist wie bei Containern, ist der Ansatz deutlich anders, und jeder Ansatz bietet einzigartige Eigenschaften und Kompromisse für Unternehmens-Workloads.

VMs haben sich in den letzten 20 Jahren als de-facto-Standard für die Virtualisierung in Unternehmen etabliert und bieten zahlreiche Vorteile für das Unternehmen, darunter die folgenden:

Sobald Administratoren die Containerebene installiert haben, können sie Containerinstanzen aus den verfügbaren Rechenressourcen des Systems bereitstellen und die Unternehmensanwendungskomponenten in den Containern implementieren. Allerdings verwendet jeder containerisierte Anwendung dasselbe zugrunde liegende Betriebssystem: das einzelne Host-Betriebssystem. Im Vergleich dazu erhält jede virtuelle Maschine ihr eigenes, einzigartiges Betriebssystem. Obwohl die Container-Ebene eine Ebene der logischen Isolierung zwischen Containern bietet, kann das gemeinsame Betriebssystem einen Single Point of Failure für alle Container im System darstellen. Wie bei VMs können auch Container leicht zwischen physischen Systemen mit einem geeigneten Betriebssystem und einer Container-Layer-Umgebung migriert werden.

Vergleich der Sicherheitsaspekte von Containern und VMs

VMs gelten als sicherste und widerstandsfähigste Plattform für Workloads. Hypervisor-Technologien haben sich bewährt, und die logische Isolierung, die Hypervisoren zwischen VMs bieten, stellt sicher, dass jede VM als separater logischer Server mit eigenem Betriebssystem und eigenen Treibern existiert. Alle Elemente, die in und um die VM herum ausgeführt werden – Betriebssystem, Anwendung, Treiber, Autorisierung und Authentifizierung sowie Netzwerkverkehr – sind jedoch Sicherheitslücken ausgesetzt, die genauso wie bei jeder herkömmlichen physischen Bereitstellung ständig behoben werden müssen. Wenn ein Höchstmaß an Isolierung für die Sicherheit erforderlich ist, sind VMs im Vorteil.

Container sind wendig und schnell, aber alle Container laufen auf einem gemeinsamen Betriebssystem. Das ist technisch in Ordnung und hat sich bewährt, aber jeder Fehler oder jede Sicherheitslücke im Betriebssystem kann potenziell alle Container gefährden, die über den gemeinsamen Betriebssystemkern laufen. Der zugrunde liegende Betriebssystemkern stellt eine einzige Schwachstelle dar. Systeme, die für Container eingesetzt werden, verwenden in der Regel ein gehärtetes Betriebssystem. Die Administratoren wenden Sicherheits-Updates und -Patches erst nach umfangreichen Tests und Prüfungen an. Außerdem werden Sicherheitstaktiken wie Intrusion Detection und Prevention in der Regel zum Schutz des Servers eingesetzt. Die Sicherheit kann erhöht werden, indem Gruppen von Containern in VMs ausgeführt werden, wobei die Vorteile von Containern mit der verbesserten Isolierung von VMs kombiniert werden.