Turinys:
Video: Vilniaus benamė apie požeminius konteinerius: benamiai gali kerštauti (Lapkritis 2024)
Daugelis IT administratorių į konteinerius žiūri kaip į programų kūrimo (programų kūrimo) įrankių rinkinį, įskaitant du populiariausius pavyzdžius: „Docker“ - konteinerių valdymo priemonė ir „Kubernetes“ - atvirojo kodo sistemą, kurią „Google“ sukūrė, kad automatizuotų konteinerių diegimą, mastelio didinimą. ir valdymas. Tai puikūs įrankiai, tačiau išsiaiškinti, kaip juos naudoti ne pagal programų kūrimo kontekstą, gali būti sudėtingas klausimas administratoriams, nuolat tobulinantiems kasdienes IT operacijas.
Priežastys, dėl kurios konteineriai gali visa tai padaryti, yra dėl jų architektūros. Nors konteineriai klasifikuojami kaip virtualizavimas, jie nėra tas pats dalykas, kurį virtualios mašinos (VM), kurias dauguma IT žmonių yra įpratusios valdyti. Įprastas VM virtualizuoja visą kompiuterį ir visas jame veikiančias programas ar netgi tiesiog bendrauja su juo kaip tikra mašina. Kita vertus, konteineris virtualizuoja tik operacinę sistemą (OS).
Kai naudojate konteinerį, jame veikianti programa nemato nieko kito, veikiančio tame pačiame kompiuteryje. Kai kurie žmonės pradeda jį supainioti su visu įjungtu VM. Tara pateikia viską, ko reikia programai paleisti, įskaitant pagrindinės OS branduolį, taip pat įrenginių tvarkykles, tinklo išteklius ir failų sistemą.
Pavyzdžiui, kai konteinerių valdymo sistema, pvz., Docker, atidaro konteinerį, jis įkelia jį iš OS vaizdų saugyklos, kurių kiekvieną turi įdiegti, patikrinti ir net pritaikyti konteinerio administratorius. Gali būti daug specializuotų vaizdų, skirtų įvairiems tikslams, ir jūs galite nurodyti, kuris vaizdas bus naudojamas kokiam darbo krūviui. Taip pat galite dar labiau pritaikyti tų standartinių vaizdų konfigūraciją, o tai gali būti labai naudinga, kai nerimaujate dėl tapatybės tvarkymo, vartotojo leidimų ar kitų saugos parametrų.
Nepamirškite saugumo
Turėjau galimybę aptarti konteinerių poveikį IT operacijoms su Mattu Hollcraftu, „Maxim Integrated“, aukštos kokybės analoginių ir mišrių signalų integruotos grandinės (IC) sprendimų gamintojo, įsikūrusio San Chosė mieste, Kalifornijoje, vyriausiuoju kibernetinės rizikos pareigūnu.
„Konteinerių atsiradimas turi galimybę IT organizacijai aptarnauti savo organizaciją ir išvengti debesų bei kitos infrastruktūros perkrovos“, - aiškino „Hollcraft“ atstovas. „Jie leidžia jums teikti paslaugas sklandžiau“, - sakė jis ir pridūrė, kad jie leidžia organizacijai greičiau ir labiau išplėsti mastelį, nes, skirtingai nei visiškai įjungti VM, konteineriai gali būti susukti aukštyn ir atgal žemyn. sekundžių.
Tai reiškia, kad galite paleisti arba sustabdyti visą verslo linijos darbo krūvį, pvz., Duomenų bazės plėtinį, pavyzdžiui, per tam tikrą laiką, reikalingą suaktyvinti visą virtualų serverį. Tai reiškia, kad IT reagavimo į kintančius verslo poreikius laikas pastebimai pagerės, juo labiau, kad galėsite pateikti tuos konteinerius naudodami standartinius OS vaizdus, kurie jau buvo iš anksto sukonfigūruoti ir pritaikyti.
Vis dėlto „Hollcraft“ perspėjo, kad saugumą kaip standartinę konteinerio konfigūravimo proceso dalį būtina įtraukti. Norėdami dirbti, saugumas turi būti toks pat judrus kaip ir konteineris. „Svarbiausias atributas turi būti judrumas“, - teigė „Hollcraft“, nes „norint apsaugoti konteinerį reikia pervažiuoti“.
Trečiųjų šalių pagalba konteinerių saugumui
„Hollcraft“ teigė, kad yra pora kibernetinio saugumo startuolių, kurie pradeda siūlyti judrias saugumo platformas, reikalingas sėkmingai naudoti konteinerius kaip IT įrankį. Konkretaus konteinerio saugumo pranašumas yra tas, kad jis leidžia IT administratoriams įtraukti apsaugą kaip pradinio konteinerio architektūros proceso dalį.
Vienas iš pradedančiųjų įmonių, kuriančių konteinerių apsaugą tokiu būdu, yra vadinamas „Aqua Security Software“ ir pristato naują produktą, vadinamą „MicroEnforcer“, skirtą būtent konteinerių naudojimo atvejui. „MicroEnforcer“ į konteinerį įdedamas jau kūrimo ar konfigūravimo proceso pradžioje. Tada, paleidus konteinerį, kartu su juo paleidžiamas saugumas. Kadangi konteineris negali būti pakeistas, jį reikia saugoti.
„Tai leidžia saugumo žmonėms atvykti ir nustatyti saugumą proceso pradžioje“, - sakė Amir Jerbi, „Aqua Security Software“ įkūrėjas ir technikos vadovas. Jis sakė, kad tai sukuria saugumą kaip konteinerio paslauga. Tokiu būdu „MicroEnforcer“ gali matyti ir kitus konteinerius.
„Galite pasižiūrėti į konteinerį ir tiksliai pamatyti, ką daro konteineris, kokie procesai veikia ir ką jis skaito bei rašo“, - sakė Jerbi. Jis pridūrė, kad „MicroEnforcer“ gali išsiųsti įspėjimą, kai aptinka veiklą taroje, kurios neturėtų būti ten, ir gali sustabdyti konteinerio operacijas, kai tai atsitiks.
Geras veiklos, kurios gali ieškoti „MicroEnforcer“, pavyzdys gali būti kenkėjiška programinė įranga, kuri buvo suleista į konteinerį. Puikus to pavyzdys gali būti vienas iš naujesnių konteinerių pagrindu vykdomų išpuolių, kai į sistemą įleidžiamas konteineris, kuriame vykdoma kriptovaliutų gavybos programinė įranga, kur jis išsiurbia išteklius, o uždirba pinigus kam nors kitam. „MicroEnforcer“ taip pat gali aptikti tokio tipo veiklą ir tuoj pat ją nutraukti.
Kova su kenkėjiška programine įranga yra vienas didžiausių konteinerių pranašumų, nes jie lengvai matomi vidinėse vietose. Tai reiškia, kad palyginti lengva stebėti jų operacijas ir gana lengva užkirsti kelią tam, kas blogai.
Verta paminėti, kad nors konteineriai jau kurį laiką buvo prieinami kaip „Linux“ architektūros elementas, jie taip pat yra „Microsoft Windows“. Tiesą sakant, „Microsoft“ pateikia „Docker“, skirtą „Windows“, versiją ir instrukcijas, kaip sukurti konteinerius „Windows Server“ ir „Windows 10“.
