Innholdsfortegnelse:
Video: Seminar 18. september - Godt arbeidsmiljø er god butikk! (Oktober 2024)
Mange IT-administratorer ser på containere som et applikasjonsutviklingsverktøy (app-dev), inkludert de to mest populære eksemplene: Docker, et middel til å kontrollere containere, og Kubernetes, et open source-system utviklet av Google for å automatisere containerdistribusjon, skalering, og ledelse. Dette er gode verktøy, men å finne ut hvordan du bruker dem utenfor en app-dev-sammenheng kan være et vanskelig spørsmål for administratorer som er gjennomsyret av den daglige IT-driften.
Årsaken til at containere kan gjøre alt dette er på grunn av deres arkitektur. Mens containere er klassifisert som virtualisering, er de ikke det samme som virtuelle maskiner (VM-er) de fleste IT-folk er vant til å administrere. En typisk VM virtualiserer en komplett datamaskin og alle apper som kjører på den, eller til og med bare kommuniserer med den som en ekte maskin. En container derimot, virtualiserer generelt bare operativsystemet (OS).
Når du bruker en beholder, kan ikke appen som kjører inne i den se noe annet som kjører på samme maskin, og det er her noen begynner å forvirre den med en full-on VM. Containeren gir alt appen trenger å kjøre, inkludert kjernen i verts OS, så vel som enhetsdrivere, nettverksressurser og et filsystem.
Når containerstyringssystemet, for eksempel Docker, sparker av en container, laster den den inn fra et arkiv med OS-bilder, som hver må ha blitt installert, kontrollert og til og med tilpasset av beholderadministratoren. Det kan være mange spesialiserte bilder for forskjellige formål, og du kan spesifisere hvilket bilde som skal brukes til hvilken arbeidsmengde. Du kan også tilpasse konfigurasjonen av disse standardbildene ytterligere, noe som kan være veldig nyttig når du er bekymret for identitetshåndtering, brukerrettigheter eller andre sikkerhetsinnstillinger.
Ikke glem sikkerhet
Jeg hadde en sjanse til å diskutere effekten av containere på IT-drift med Matt Hollcraft, Chief Cyber Risk Officer for Maxim Integrated, produsent av høyytelsesanalyse og IC-løsninger med høy ytelse basert i San Jose, Calif.
"Fremveksten av containere har potensial til å gi IT-organisasjonen service på organisasjonen og unngå overbelastning av sky og annen infrastruktur, " forklarte Hollcraft. "De lar deg levere tjenester på en mer flytende måte, " sa han og la til at de tillater en organisasjon å skalere opp og ned raskere fordi, i motsetning til fullverdige VM-er, kan containere spinnes opp og ned igjen i løpet av sekunder.
Dette betyr at du kan starte eller stoppe en fullstendig forekomst av en arbeidsmengde på en virksomhetslinje, for eksempel en databaseutvidelse, for eksempel i en brøkdel av tiden det vil ta å aktivere en full virtuell server. Dette betyr at IT-responstid på endrede forretningsbehov vil bli markert forbedret, spesielt siden du vil kunne levere containere som bruker standard OS-bilder som allerede er forhåndskonfigurert og tilpasset.
Likevel advarte Hollcraft at det er viktig å inkludere sikkerhet som en standard del av beholderkonfigurasjonsprosessen. For å fungere, må sikkerheten være like smidig som beholderen. "Hovedattributtet må være smidighet, " sa Hollcraft, fordi "det må rampes opp for å beskytte en container."
Tredjeparts hjelp med containersikkerhet
Hollcraft sa at det er et par cybersecurity-startups som begynner å tilby de smidige sikkerhetsplattformene som er nødvendige for å kunne bruke containere som et IT-verktøy. Fordelen med å ha containerspesifikk sikkerhet er at det gjør det mulig for IT-administratorer å innlemme sikkerhet som en del av den innledende containerarkitekturprosessen.
En av startups som gjør containersikkerhet fungerer på denne måten kalles Aqua Security Software, og den leverer et nytt produkt, kalt MicroEnforcer, som er spesifikt rettet mot containerbrukssaken. MicroEnforcer settes inn i beholderen tidlig i utviklings- eller konfigurasjonsprosessen. Deretter når beholderen lanseres, lanseres sikkerheten med den. Fordi en container ikke kan endres når den er lastet, er sikkerheten der for å bli.
"Det lar sikkerhetsfolk komme inn og sette opp sikkerhet i begynnelsen av prosessen, " sa Amir Jerbi, grunnlegger og CTO for Aqua Security Software. Han sa at det skaper sikkerhet som en tjeneste i containeren. På denne måten kan MicroEnforcer også være synlig i andre containere.
"Du kan se på en container og se nøyaktig hva containeren gjør, hvilke prosesser som kjører, og hva den leser og skriver, " sa Jerbi. Han la til at MicroEnforcer deretter kan sende et varsel når den oppdager aktivitet i en container som ikke skal være der, og det kan stoppe driften av containeren når det skjer.
Et godt eksempel på den typen aktivitet MicroEnforcer kan se etter kan være skadelig programvare som er blitt injisert i en beholder. Et flott eksempel på dette kan være et av de nyere containerbaserte angrepene der en container som kjører cryptocurrency-gruvedrift, sprøytes inn i et system, der den suger opp ressurser mens du tjener penger til noen andre. MicroEnforcer kan også oppdage den type aktivitet og umiddelbart avslutte den.
Bekjempelse av skadelig programvare er en av de store fordelene med containere på grunn av den enkle synligheten de gir til internene. Dette betyr at det er relativt enkelt å overvåke driften og relativt enkelt å forhindre at noe dårlig skjer.
Det er verdt å merke seg at selv om containere har vært tilgjengelig som et arkitektonisk element for Linux i noen tid, er de også tilgjengelige i Microsoft Windows. Faktisk tilbyr Microsoft en versjon av Docker for Windows og gir instruksjoner om hvordan du oppretter containere i Windows Server og Windows 10.
