Inhoudsopgave:
Video: De mannen hebben de grootste lol: ‘Werd er een stewardess uit elkaar getrokken?!’ | VERONICA INSIDE (November 2024)
Veel IT-beheerders beschouwen containers als een toolset voor applicatie-ontwikkeling (app-dev), inclusief de twee meest populaire voorbeelden: Docker, een manier om containers te beheren, en Kubernetes, een open-source systeem dat door Google is ontwikkeld om containerimplementatie te automatiseren, schaalvergroting, en management. Dit zijn geweldige hulpmiddelen, maar het uitzoeken hoe ze buiten een app-dev context kunnen worden gebruikt, kan een moeilijke vraag zijn voor beheerders die doordrenkt zijn met de dagelijkse IT-activiteiten.
De reden dat containers dit allemaal kunnen doen, is te wijten aan hun architectuur. Hoewel containers worden geclassificeerd als virtualisatie, zijn ze niet hetzelfde als de virtuele machines (VM's) die de meeste IT-mensen gewend zijn te beheren. Een typische VM virtualiseert een complete computer en alle apps die erop draaien of er gewoon mee communiceren als een echte machine. Een container daarentegen virtualiseert over het algemeen alleen het besturingssysteem (OS).
Wanneer u een container gebruikt, ziet de app die erin draait niets anders op dezelfde machine draaien, en dat is waar sommige mensen het beginnen te verwarren met een volledige VM. De container biedt alles wat de app moet uitvoeren, inclusief de kernel van het host-besturingssysteem, apparaatstuurprogramma's, netwerkactiva en een bestandssysteem.
Wanneer het containerbeheersysteem, Docker bijvoorbeeld, een container start, laadt het deze uit een repository van OS-images, die elk moeten zijn geïnstalleerd, doorgelicht en zelfs aangepast door de containerbeheerder. Er kunnen veel gespecialiseerde afbeeldingen zijn voor verschillende doeleinden en u kunt opgeven welke afbeelding voor welke werklast moet worden gebruikt. Je kunt de configuratie van die standaardafbeeldingen ook nog verder aanpassen, wat erg handig kan zijn als je je zorgen maakt over identiteitsbeheer, gebruikersrechten of andere beveiligingsinstellingen.
Vergeet de beveiliging niet
Ik kreeg de kans om de impact van containers op IT-activiteiten te bespreken met Matt Hollcraft, Chief Cyber Risk Officer voor Maxim Integrated, een fabrikant van hoogwaardige analoge en mixed-signal Integrated Circuit (IC) -oplossingen gevestigd in San Jose, Californië.
"De opkomst van containers kan de IT-organisatie in staat stellen hun organisatie te bedienen en overbelasting van cloud en andere infrastructuur te voorkomen", aldus Hollcraft. "Ze stellen u in staat om services op een meer vloeiende manier te leveren, " zei hij, toevoegend dat ze een organisatie in staat stellen om sneller op en neer te schalen, omdat containers, in tegenstelling tot full-on VM's, in een kwestie van seconden.
Dit betekent dat u in een fractie van de tijd die nodig is om een volledige virtuele server te activeren, een volledige instantie van een zakelijke werkbelasting, zoals een database-extensie, kunt starten of stoppen. Dit betekent dat de responstijd van IT op veranderende bedrijfsbehoeften aanzienlijk zal verbeteren, vooral omdat u die containers kunt aanbieden met standaard OS-images die al vooraf zijn geconfigureerd en aangepast.
Toch waarschuwde Hollcraft dat het van cruciaal belang is om beveiliging op te nemen als standaardonderdeel van uw containerconfiguratieproces. Om te werken, moet de beveiliging even wendbaar zijn als de container. "Het belangrijkste kenmerk moet behendigheid zijn, " zei Hollcraft, omdat "het moet opvoeren om een container te beschermen."
Hulp van derden met containerbeveiliging
Hollcraft zei dat er een aantal cybersecurity startups zijn die beginnen met het aanbieden van de agile beveiligingsplatforms die nodig zijn om containers succesvol te gebruiken als IT-tool. Het voordeel van containerspecifieke beveiliging is dat IT-beheerders beveiliging kunnen opnemen als onderdeel van het initiële containerarchitectuurproces.
Een van de startups die ervoor zorgt dat containerbeveiliging op deze manier werkt, wordt Aqua Security Software genoemd en levert een nieuw product, MicroEnforcer genaamd, specifiek gericht op het gebruik van de container. MicroEnforcer wordt vroeg in het ontwikkel- of configuratieproces in de container geplaatst. Wanneer de container wordt gestart, wordt de beveiliging ermee gestart. Omdat een container niet meer kan worden gewijzigd nadat deze is geladen, blijft de beveiliging aanwezig.
"Hiermee kunnen beveiligingsmensen binnenkomen en beveiliging instellen aan het begin van het proces", zegt Amir Jerbi, oprichter en CTO van Aqua Security Software. Hij zei dat het veiligheid creëert als een service in de container. Op deze manier kan MicroEnforcer ook zicht hebben op andere containers.
"Je kunt naar een container kijken en precies zien wat de container doet, welke processen worden uitgevoerd en wat er wordt gelezen en geschreven, " zei Jerbi. Hij voegde eraan toe dat MicroEnforcer vervolgens een waarschuwing kan verzenden wanneer het activiteit detecteert in een container die daar niet hoort te zijn, en het kan de activiteiten van de container stoppen wanneer dat gebeurt.
Een goed voorbeeld van het soort activiteit waarnaar MicroEnforcer kan zoeken, is mogelijk malware die in een container is geïnjecteerd. Een goed voorbeeld hiervan kan een van de nieuwere container-gebaseerde aanvallen zijn waarbij een container met cryptocurrency mining-software in een systeem wordt geïnjecteerd, waar het middelen opzuigt en geld verdient voor iemand anders. MicroEnforcer kan dat type activiteit ook detecteren en onmiddellijk beëindigen.
Het bestrijden van malware is een van de grote voordelen van containers vanwege de eenvoudige zichtbaarheid die ze bieden voor hun interne apparaten. Dit betekent dat het relatief eenvoudig is om hun activiteiten te controleren en relatief eenvoudig om te voorkomen dat er iets ergs gebeurt.
Het is vermeldenswaard dat, hoewel containers al enige tijd beschikbaar zijn als een architectonisch element voor Linux, ze ook beschikbaar zijn in Microsoft Windows. Microsoft biedt zelfs een versie van Docker voor Windows en geeft instructies voor het maken van containers in Windows Server en Windows 10.
