Wer schon einmal einer Container-Runtime wie Docker unter die Haube gesehen oder gar Anwendungen auf einer Container-Runtime in Produktion betrieben hat, weiß, dass das virtuelle Konstrukt „Container” im Kern ein normaler Linux-Prozess ist, der durch bestimmte Kernel-Komponenten großteils isoliert vom Rest des Systems läuft. Dies macht Container leichtgewichtiger, aber auch angreifbarer als virtuelle Maschinen (VMs).

Um diese Angriffsfläche zu reduzieren, bieten Container-Runtimes vielfältige Ei…