Isi kandungan:
Video: BIKIN MRINDING RAUNGAN KLAKSON TRUCK KONTAINER MENCARI KESELAMATAN (November 2024)
Kebanyakan pentadbir IT melihat bekas sebagai toolset pembangunan aplikasi (app-dev), termasuk dua contoh yang paling popular: Docker, alat kawalan kontena, dan Kubernetes, sebuah sistem sumber terbuka yang dibangunkan oleh Google untuk mengotomatisasi penggunaan bekas, skala, dan pengurusan. Ini adalah alat yang hebat, tetapi memikirkan cara menggunakannya di luar konteks aplikasi-dev boleh menjadi persoalan sulit bagi pentadbir yang penuh dengan operasi IT sehari-hari.
Alasan bekas boleh melakukan semua ini kerana seni bina mereka. Walaupun bekas diklasifikasikan sebagai virtualisasi, mereka bukan perkara yang sama seperti mesin maya (VM) yang kebanyakan orang IT terbiasa mengurus. VM biasa mem virtualisasi komputer lengkap dan mana-mana aplikasi berjalan di atasnya atau bahkan hanya berkomunikasi dengannya sebagai mesin sebenar. Satu kontena, sebaliknya, secara amnya meminda hanya sistem operasi (OS).
Apabila anda menggunakan bekas, aplikasi yang berjalan di dalamnya tidak dapat melihat apa-apa lagi yang berjalan di mesin yang sama, di mana sesetengah orang mula mengelirukannya dengan VM penuh. Kontena menyediakan semua aplikasi yang perlu dijalankan, termasuk kernel OS hos serta pemacu peranti, aset rangkaian, dan sistem fail.
Apabila sistem pengurusan bekas, Docker misalnya, memulakan sebuah bekas, ia memuatkan dari repositori imej OS, yang masing-masing perlu dipasang, diperiksa dan disesuaikan oleh admin bekas. Terdapat banyak imej khusus untuk tujuan yang berlainan dan anda boleh menentukan imej mana yang akan digunakan untuk beban kerja. Anda juga boleh menyesuaikan konfigurasi imej standard tersebut lebih jauh lagi, yang boleh menjadi sangat berguna apabila anda bimbang tentang pengurusan identiti, kebenaran pengguna, atau tetapan keselamatan yang lain.
Jangan Lupakan Keselamatan
Saya mempunyai peluang untuk membincangkan kesan kontena mengenai operasi IT dengan Matt Hollcraft, Ketua Pegawai Risiko Siber untuk Maxim Integrated, pengeluar penyelesaian litar bersepadu analog dan campuran litar bersepadu (IC) yang berpangkalan di San Jose, Calif.
"Kemunculan kontena berpotensi untuk membolehkan organisasi IT berfungsi organisasi mereka dan mengelakkan beban awan dan infrastruktur lain, " jelas Hollcraft. "Mereka membenarkan anda menyampaikan perkhidmatan dengan cara yang lebih cair, " katanya, sambil menambah bahawa mereka membenarkan organisasi untuk meningkatkan dan menurunkan lebih cepat kerana, tidak seperti VM sepenuhnya, kontena boleh diputar dan kembali dalam keadaan detik.
Ini bermakna anda boleh melancarkan atau menghentikan contoh penuh beban kerja perniagaan, seperti sambungan pangkalan data, contohnya, dalam sebahagian kecil masa yang diperlukan untuk mengaktifkan pelayan maya penuh. Ini bermakna masa tindak balas IT untuk mengubah keperluan perniagaan akan melihat penambahbaikan yang ketara, terutamanya kerana anda akan dapat menyediakan bekas-bekas yang menggunakan imej OS standard yang telah dipratetapkan terlebih dahulu dan disesuaikan.
Walau bagaimanapun, Hollcraft memberi amaran bahawa penting untuk memasukkan keselamatan sebagai sebahagian standard proses konfigurasi bekas anda. Untuk berfungsi, keselamatan harus menjadi lincah sebagai bekas. "Atribut ketua perlu ketangkasan, " kata Hollcraft, kerana "ia perlu melangkah untuk melindungi bekas."
Bantuan Pihak Ketiga Dengan Keselamatan Kontena
Hollcraft berkata terdapat beberapa permulaan keselamatan siber yang mula menawarkan platform keselamatan tangkas yang diperlukan untuk berjaya menggunakan bekas sebagai alat IT. Keuntungan mempunyai keselamatan spesifik bekas adalah bahawa ia membolehkan pentadbir IT menggabungkan keselamatan sebagai sebahagian daripada proses arkitek kontena awal.
Salah satu pemula yang membuat kerja keselamatan kontena dengan cara ini dipanggil Aqua Security Software dan ia menyampaikan produk baru, yang dipanggil MicroEnforcer, yang ditujukan khusus kepada kes penggunaan bekas. MicroEnforcer dimasukkan ke dalam bekas awal proses pembangunan atau konfigurasi. Kemudian, apabila bekas dilancarkan, keselamatan dilancarkan dengannya. Kerana bekas tidak boleh diubah setelah ia dimuatkan, keselamatan berada di sana untuk tinggal.
"Ia membolehkan orang-orang keselamatan masuk dan menubuhkan keselamatan pada permulaan proses, " kata Amir Jerbi, pengasas dan CTO Perisian Keselamatan Aqua. Beliau berkata bahawa ia mewujudkan keselamatan sebagai perkhidmatan dalam bekas. Dengan cara ini, MicroEnforcer boleh mempunyai penglihatan ke dalam bekas lain juga.
"Anda boleh melihat bekas dan lihat dengan tepat apa bekas, proses berjalan, dan apa yang sedang dibaca dan ditulis, " kata Jerbi. Beliau menambah bahawa MicroEnforcer boleh menghantar amaran apabila ia mengesan aktiviti dalam bekas yang tidak sepatutnya berada di sana, dan ia boleh menghentikan operasi bekas apabila berlaku.
Satu contoh yang baik mengenai jenis aktiviti yang boleh dicari oleh MicroEnforcer adalah malware yang telah disuntik ke dalam bekas. Satu contoh hebat ini mungkin salah satu serangan berasaskan bekas yang baru di mana sebuah bekas yang menjalankan perisian perlombongan cryptocurrency disuntik ke dalam sistem, di mana ia menyedut sumber sambil membuat wang untuk orang lain. MicroEnforcer juga boleh mengesan jenis aktiviti dan segera menamatkannya.
Melawan perisian hasad adalah salah satu kelebihan besar kontena kerana penglihatan mudah yang mereka berikan kepada internals mereka. Ini bermakna bahawa ia agak mudah untuk memantau operasi mereka dan agak mudah untuk mengelakkan sesuatu yang buruk daripada berlaku.
Perlu diingat bahawa, sementara bekas telah tersedia sebagai elemen seni bina untuk Linux untuk beberapa waktu, mereka juga boleh didapati di Microsoft Windows. Sebenarnya, Microsoft menyediakan versi Docker untuk Windows dan menyediakan arahan tentang cara membuat bekas dalam Windows Server dan Windows 10.
