NetBSD, 커널 레벨 격리 기술 'Jails' 출시!

NetBSD Jails는 secmodel_jail을 통해 커널 레벨에서 격리 및 정책을 구현한다. 이는 별도의 런타임 레이어 없이 커널 보안 프레임워크(Kernel Security Framework)에 통합되어 성능을 향상시킨다. 또한, jailctl을 사용하여 라이프사이클 관리, 실행 제어, 통계 내보내기를 수행하며, jailmgr은 파일 시스템 준비, 설정 관리, 멀티-jail 운영을 담당한다. 이러한 구조는 가볍고 효율적인 격리를 가능하게 한다.

Jails는 각 Jail별로 CPU 할당량, 메모리 사용량, 프로세스 수, 파일 디스크립터, 소켓 버퍼 등을 제한하여 자원 사용량(Resource Usage)을 정밀하게 제어한다. 또한, 보안 프로파일(Security Profiles)을 적용하여 시스템 접근 권한을 제한하고, 포트 충돌을 방지한다. 이러한 기능들은 각 Jail의 안정적인 운영(Stable Operation)을 보장하며, 시스템 전체의 보안성을 강화한다.

Jails는 Prometheus 호환 메트릭(Prometheus-compatible Metrics)을 제공하여 시스템 상태를 실시간으로 모니터링할 수 있도록 지원한다. jailctl stats 명령어를 통해 CPU 사용량, 프로세스 수, 메모리 사용량 등 다양한 지표를 확인할 수 있으며, 별도의 exporter 없이도 기본 시스템(Base System)만으로 메트릭을 노출할 수 있다. 이는 운영 효율성을 높이는 데 기여한다.

Jails는 단일 호스트 네트워크 스택(Single Host Network Stack)을 사용하므로, 복잡한 네트워크 설정 없이 운영할 수 있다. 또한, jailctl을 통해 서비스의 자동 시작 및 재시작을 관리하며, 표준 프로세스 테이블에서 모든 프로세스를 확인할 수 있다. 이러한 단순성은 운영상의 부담을 줄이고, 예측 가능한 동작(Predictable Behavior)을 보장한다.