Съдържание:
Много ИТ администратори разглеждат контейнерите като набор от инструменти за разработка на приложения (app-dev), включително двата му най-популярни примера: Docker, средство за контрол на контейнери и Kubernetes, система с отворен код, разработена от Google за автоматизиране на разполагането на контейнери, мащабиране и управление. Това са страхотни инструменти, но да разберете как да ги използвате извън контекст на приложението за разработка може да бъде труден въпрос за администраторите, които се вписват в ежедневните ИТ операции.
Причината контейнерите да правят всичко това се дължи на тяхната архитектура. Въпреки че контейнерите са класифицирани като виртуализация, те не са едно и също нещо като виртуалните машини (VM) повечето ИТ хора са свикнали да управляват. Типичният VM виртуализира пълен компютър и всякакви приложения, работещи на него или дори просто общуващи с него като истинска машина. От друга страна, контейнер по принцип виртуализира само операционната система (ОС).
Когато използвате контейнер, приложението, което работи вътре в него, не може да види нищо друго, работещо на същата машина, където някои хора започват да го бъркат с пълна VM. Контейнерът предоставя всичко, което приложението трябва да стартира, включително ядрото на хост операционната система, както и драйвери на устройства, мрежови активи и файлова система.
Когато системата за управление на контейнери, например Docker, стартира контейнер, той го зарежда от хранилище от изображения на ОС, всеки от които трябва да бъде инсталиран, проверен и дори персонализиран от администратора на контейнера. Може да има много специализирани изображения за различни цели и можете да определите кое изображение да се използва за какъв работен обем. Можете също така да персонализирате конфигурацията на тези стандартни изображения още повече, което може да бъде много удобно, когато се притеснявате за управление на идентичността, потребителски разрешения или други настройки за защита.
Не забравяйте сигурността
Имах шанс да обсъдя въздействието на контейнерите върху ИТ операциите с Мат Холкрафт, Главен директор по кибер рисковете на Maxim Integrated, производител на високоефективни решения за интегрална схема за аналогови и смесени сигнали (IC) със седалище в Сан Хосе, Калифорния.
"Появата на контейнери има потенциал да позволи на ИТ организацията да обслужва тяхната организация и да избегне претоварване на облака и друга инфраструктура", обясни Hollcraft. "Те ви позволяват да доставяте услуги по по-плавен начин", каза той и добави, че те позволяват на една организация да се увеличава нагоре и надолу по-бързо, защото, за разлика от пълните виртуални машини, контейнерите могат да се въртят и обратно надолу по въпрос на секунди.
Това означава, че можете да стартирате или спрете пълен екземпляр от работно натоварване по бизнес, като разширение на база данни, например, в част от времето, което ще ви отнеме за активиране на пълен виртуален сървър. Това означава, че времето за реакция на ИТ на променящите се бизнес нужди ще види значително подобрение, особено след като ще можете да предоставите тези контейнери, използвайки стандартни изображения на ОС, които вече са предварително конфигурирани и персонализирани.
И все пак Hollcraft предупреди, че е изключително важно да включите сигурността като стандартна част от процеса на конфигуриране на контейнера. За да работи, сигурността трябва да бъде толкова пъргава, колкото контейнера. "Главният атрибут трябва да бъде пъргавостта", каза Холкрафт, защото "той трябва да се издигне, за да защити контейнер."
Помощ на трети страни за сигурност на контейнера
Холкрафт каза, че има няколко стартъпа за киберсигурност, които започват да предлагат гъвкавите платформи за сигурност, необходими за успешното използване на контейнерите като ИТ инструмент. Предимството на защитата, специфична за контейнерите, е, че позволява на ИТ администраторите да включат сигурност като част от първоначалния процес на архитектура на контейнерите.
Един от стартиращите компании, който кара защитата на контейнерите да работи по този начин, се нарича Aqua Security Software и доставя нов продукт, наречен MicroEnforcer, насочен специално към случая на използване на контейнерите. MicroEnforcer се поставя в контейнера още в процеса на разработка или конфигуриране. След това, когато контейнерът се стартира, защитата стартира с него. Тъй като контейнер не може да бъде променен, след като се зареди, сигурността е там, за да остане.
"Това позволява на хората от сигурността да влязат и да настроят сигурност в началото на процеса", каза Амир Джерби, основател и CTO на Aqua Security Software. Той каза, че създава сигурност като услуга в контейнера. По този начин MicroEnforcer може да има видимост и в други контейнери.
"Можете да разгледате контейнер и да видите какво точно прави контейнерът, какви процеси протичат и какво чете и пише", каза Джерби. Той добави, че MicroEnforcer може след това да изпрати сигнал, когато открие активност в контейнер, който не би трябвало да е там, и може да спре операциите на контейнера, когато това се случи.
Добър пример за вида дейност, която MicroEnforcer може да търси, може да бъде зловреден софтуер, който е инжектиран в контейнер. Чудесен пример за това може да бъде една от по-новите атаки, базирани на контейнери, при които контейнер, работещ със софтуер за добив на криптовалута, се инжектира в система, където той изсмуква ресурси, като същевременно печели пари за някой друг. MicroEnforcer също може да открие този тип дейност и незабавно да го прекрати.
Борбата със злонамерения софтуер е едно от големите предимства на контейнерите поради лесната видимост, която те предоставят във вътрешността им. Това означава, че е сравнително лесно да се наблюдават техните операции и сравнително лесно да се предотврати случилото се нещо лошо.
Струва си да се отбележи, че макар контейнерите да са достъпни като архитектурен елемент за Linux от известно време, те са налични и в Microsoft Windows. Всъщност Microsoft предоставя версия на Docker за Windows и предоставя инструкции как да създавате контейнери в Windows Server и Windows 10.