Obsah:
Video: UTRATIL JSEM 1 200 000 $ VE VÁLCE SKLADŮ ! (GTA 5 Módy) (Listopad 2024)
Mnoho správců IT se na kontejnery dívá jako na sadu nástrojů pro vývoj aplikací (app-dev), včetně dvou nejoblíbenějších příkladů: Docker, prostředek pro řízení kontejnerů, a Kubernetes, systém s otevřeným zdrojovým kódem vyvinutý společností Google pro automatizaci nasazení kontejnerů, škálování, a management. Jedná se o skvělé nástroje, ale zjistit, jak je používat mimo kontext aplikace, může být pro administrátory náročné na každodenní IT operace obtížnou otázkou.
Důvody, proč kontejnery dokážou všechno, je kvůli jejich architektuře. I když jsou kontejnery klasifikovány jako virtualizace, nejedná se o totéž jako s virtuálními počítači (VM), na které je většina IT lidí zvyklá spravovat. Typický VM virtualizuje kompletní počítač a všechny aplikace, které na něm běží, nebo dokonce s ním komunikuje jako skutečný stroj. Na druhou stranu kontejner obecně virtualizuje pouze operační systém (OS).
Když používáte kontejner, aplikace, která běží uvnitř, nemůže vidět nic jiného běžícího na stejném počítači, což je místo, kde ho někteří lidé začnou zaměňovat s plně virtuálním virtuálním počítačem. Kontejner poskytuje vše, co aplikace potřebuje ke spuštění, včetně jádra hostitelského OS, ovladačů zařízení, síťových prostředků a systému souborů.
Když systém správy kontejnerů, například Docker, odstartuje kontejner, načte jej z úložiště obrazů OS, z nichž každý musí být nainstalován, zkontrolován a dokonce přizpůsoben správcem kontejneru. Může existovat spousta specializovaných obrázků pro různé účely a můžete určit, který obrázek se má použít pro jaké pracovní vytížení. Můžete také přizpůsobit konfiguraci těchto standardních obrazů ještě více, což může být velmi užitečné, když se obáváte o správu identity, uživatelská oprávnění nebo jiná nastavení zabezpečení.
Nezapomeňte na bezpečnost
Měl jsem šanci diskutovat o dopadu kontejnerů na IT operace s Mattem Hollcraftem, ředitelem Cyber Risk Officer pro Maxim Integrated, výrobcem vysoce výkonných analogových a smíšených signálů integrovaných obvodů (IC) se sídlem v San Jose v Kalifornii.
„Vznik kontejnerů má potenciál umožnit IT organizaci spravovat svou organizaci a vyhnout se přetížení cloudu a jiné infrastruktury, “ vysvětlil Hollcraft. „Umožňují vám poskytovat služby plynulejším způsobem, “ řekl a dodal, že umožňují organizaci rychleji škálovat nahoru a dolů, protože na rozdíl od plně virtuálních virtuálních strojů mohou být kontejnery spřádány nahoru a dolů ve věci sekundy.
To znamená, že můžete spustit nebo zastavit celou instanci pracovního vytížení obchodní linky, například rozšíření databáze, za zlomek času, který by trvalo aktivaci úplného virtuálního serveru. To znamená, že doba odezvy IT na měnící se obchodní potřeby povede k výraznému zlepšení, zejména proto, že budete moci poskytnout tyto kontejnery pomocí standardních bitových kopií OS, které již byly předkonfigurovány a přizpůsobeny.
Přesto společnost Hollcraft varovala, že je důležité zahrnout zabezpečení jako standardní součást procesu konfigurace kontejneru. Aby fungovalo, musí být zabezpečení tak pohyblivé jako kontejner. "Hlavním atributem musí být obratnost, " řekl Hollcraft, protože "musí se na ochranu kontejneru rozběhnout."
Pomoc třetích stran s bezpečností kontejnerů
Hollcraft uvedl, že existuje několik spouštěcích systémů kybernetické bezpečnosti, které začínají nabízet agilní bezpečnostní platformy potřebné pro úspěšné použití kontejnerů jako IT nástroje. Výhodou zabezpečení specifického pro kontejner je to, že umožňuje správcům IT začlenit zabezpečení jako součást procesu počáteční architektury kontejneru.
Jeden ze spouštěcích zařízení, které zajišťují bezpečnost kontejnerů tímto způsobem, se nazývá Aqua Security Software a přináší nový produkt, nazvaný MicroEnforcer, zaměřený konkrétně na případ použití kontejneru. MicroEnforcer se vkládá do kontejneru na začátku procesu vývoje nebo konfigurace. Poté, když je kontejner spuštěn, spustí se zabezpečení. Protože kontejner nelze po načtení změnit, je zde zabezpečení.
„Umožňuje lidem zabezpečení vstoupit a nastavit zabezpečení na začátku procesu, “ řekl Amir Jerbi, zakladatel a CTO společnosti Aqua Security Software. Řekl, že to vytváří bezpečnost jako službu v kontejneru. Tímto způsobem může být MicroEnforcer viditelný i do jiných kontejnerů.
„Můžete se podívat na kontejner a přesně vidět, co kontejner dělá, jaké procesy běží a co čte a zapisuje, “ řekl Jerbi. Dodal, že MicroEnforcer může poslat výstrahu, když detekuje aktivitu v kontejneru, který tam nemá být, a může zastavit provoz kontejneru, když k tomu dojde.
Dobrým příkladem činnosti, kterou může MicroEnforcer hledat, může být malware, který byl injikován do kontejneru. Skvělým příkladem by mohl být jeden z novějších útoků založených na kontejnerech, ve kterých je kontejner se spuštěným softwarem pro těžbu kryptoměn injektován do systému, kde nasává zdroje a zároveň vydělává peníze někomu jinému. MicroEnforcer může také detekovat tento typ aktivity a okamžitě ji ukončit.
Boj proti malwaru je jednou z velkých výhod kontejnerů z důvodu snadné viditelnosti, kterou poskytují svým interním zařízením. To znamená, že je poměrně snadné sledovat jejich činnost a relativně snadno zabránit tomu, aby se něco špatného stalo.
Stojí za zmínku, že ačkoli byly kontejnery již nějakou dobu k dispozici jako architektonický prvek pro Linux, jsou k dispozici také v systému Microsoft Windows. Společnost Microsoft ve skutečnosti poskytuje verzi Docker pro Windows a poskytuje pokyny, jak vytvořit kontejnery v systémech Windows Server a Windows 10.
