Зміст:
Відео: unboxing turtles slime surprise toys learn colors (Листопад 2024)
Багато ІТ-адміністраторів розглядають контейнери як набір інструментів для розробки додатків (app-dev), включаючи два найпопулярніші приклади: Docker, засіб управління контейнерами та Kubernetes, відкрита система, розроблена Google для автоматизації розгортання контейнерів, масштабування та управління. Це чудові інструменти, але з'ясування того, як їх використовувати поза контекстом програми-розробника, може бути складним питанням для адміністраторів, що займаються щоденними ІТ-операціями.
Причина, яку контейнери можуть зробити все це, пов’язана з їх архітектурою. Хоча контейнери класифікуються як віртуалізація, це не те саме, що і віртуальні машини (VM) більшість ІТ-людей звикли керувати. Типовий VM віртуалізує повний комп'ютер і будь-які додатки, що працюють на ньому, або навіть просто спілкуються з ним як справжню машину. З іншого боку, контейнер, як правило, віртуалізує лише операційну систему (ОС).
Коли ви використовуєте контейнер, додаток, що працює всередині нього, не бачить нічого іншого, що працює на тій же машині, де деякі люди починають плутати його з повноцінним VM. У контейнері передбачено все, що потрібно для запуску програми, включаючи ядро хост-операційної системи, а також драйвери пристроїв, мережеві активи та файлову систему.
Наприклад, коли система управління контейнерами, наприклад, Докер, запускає контейнер, він завантажує його з сховища зображень ОС, кожне з яких потрібно встановити, перевірити і навіть настроїти адміністратором контейнера. Тут може бути безліч спеціалізованих зображень для різних цілей, і ви можете вказати, яке зображення використовувати для навантаження. Ви можете ще більше налаштувати конфігурацію цих стандартних зображень, що може бути дуже зручно, коли ви турбуєтесь про управління ідентифікацією, дозволами користувача чи іншими налаштуваннями безпеки.
Не забувайте про безпеку
У мене був шанс обговорити вплив контейнерів на ІТ-операції з Меттом Холлкрафтом, головним директором з кібер-ризику Maxim Integrated, виробником високоефективних рішень для інтегральних мікросхем аналогового та змішаного сигналу, що базуються в Сан-Хосе, Каліфорнія.
"Поява контейнерів може потенційно дозволити ІТ-організації обслуговувати їх організацію та уникнути перевантаження хмарної та іншої інфраструктури", - пояснив Холлкрафт. "Вони дозволяють вам надавати послуги більш текучим способом", - сказав він, додавши, що вони дозволяють організації швидше масштабувати вгору та вниз, тому що, на відміну від повних візків, контейнери можуть запускатися і повертатися вниз за допомогою питання секунд.
Це означає, що ви можете запустити або зупинити повний екземпляр робочого навантаження, наприклад, розширення бази даних, за частку часу, який знадобиться для активації повного віртуального сервера. Це означає, що час реакції ІТ на зміни бізнес-потреб помітно покращиться, тим більше, що ви зможете надати ті контейнери, використовуючи стандартні зображення ОС, які вже були попередньо налаштовані та налаштовані.
Проте Hollcraft попередив, що важливо включати безпеку як стандартну частину процесу налаштування контейнера. Для роботи безпека повинна бути такою ж спритною, як і контейнер. "Головним атрибутом має бути спритність", - сказав Холлкрафт, оскільки "для захисту контейнера його потрібно наростити".
Стороння допомога щодо безпеки контейнера
Холкрафт зазначив, що є кілька стартапів з кібербезпеки, які починають пропонувати спритні платформи безпеки, необхідні для успішного використання контейнерів як інструменту ІТ. Перевагою наявності захищеної для контейнера безпеки є те, що вона дозволяє ІТ-адміністраторам включати захист як частину початкового процесу архітектури контейнерів.
Один із стартапів, який таким чином працює над захистом контейнерів, називається Aqua Security Software і постачає новий продукт під назвою MicroEnforcer, який спеціально спрямований на використання контейнерів. MicroEnforcer вставляється в контейнер на початку розробки або конфігурації. Потім, коли контейнер запускається, захист запускається з ним. Оскільки контейнер не може бути змінений, коли він завантажений, безпека може залишитися.
"Це дозволяє людям із безпеки ввійти і налаштувати безпеку на початку процесу", - сказав Амір Джербі, засновник і директор CTO Aqua Security Software. Він сказав, що це створює безпеку як послугу в контейнері. Таким чином, MicroEnforcer може бачити і інші контейнери.
"Ви можете подивитися контейнер і точно побачити, що контейнер робить, які процеси запущені, і що він читає і пише", - сказав Джербі. Він додав, що MicroEnforcer може потім надсилати попередження, коли виявляє активність у контейнері, якого не повинно бути там, і він може зупинити операції контейнера, коли це станеться.
Хорошим прикладом діяльності, яку MicroEnforcer може шукати, може бути зловмисне програмне забезпечення, яке було введено в контейнер. Прекрасним прикладом цього може бути одна з новіших контейнерних атак, в якій контейнер з програмним забезпеченням для видобутку криптовалюти вводиться в систему, де він забирає ресурси, заробляючи гроші на когось іншого. MicroEnforcer також може виявити цей вид діяльності та негайно припинити його.
Боротьба зі шкідливим програмним забезпеченням - одна з головних переваг контейнерів через легку видимість, яку вони надають у їх внутрішніх приміщеннях. Це означає, що контролювати їхню діяльність досить легко і порівняно легко запобігти тому, щоб нічого поганого не відбулося.
Варто зазначити, що хоча контейнери вже деякий час є архітектурним елементом для Linux, вони також доступні в Microsoft Windows. Насправді Microsoft надає версію Docker для Windows та надає інструкції щодо створення контейнерів у Windows Server та Windows 10.