Tartalomjegyzék:
Videó: Tajekozott es nem rasszista holgy (November 2024)
Számos IT-rendszergazda a tárolókat alkalmazásfejlesztő (app-dev) eszközkészletnek tekinti, beleértve két legnépszerűbb példáját: a Docker, a konténerek vezérlésének eszközét, és a Kubernetes, a Google által kifejlesztett nyílt forrású rendszer a konténerek telepítésének, méretezésének automatizálására., és a menedzsment. Ezek nagyszerű eszközök, de a napi IT-műveletekben átgondolt rendszergazdák számára nehéz kérdés lehet rájönni, hogyan lehet azokat alkalmazáson kívüli környezetben használni.
Azért, mert a konténerek mindezt megtehetik, építkezésüknek köszönhetően. Míg a tárolókat virtualizációnak tekintik, ezek nem ugyanaz, mint a virtuális gépek (virtuális gépek), amelyeket a legtöbb informatikai ember megszokott kezelni. Egy tipikus virtuális gép virtualizálja a teljes számítógépet és az összes rajta futó alkalmazást, vagy akár csak valós gépként kommunikál vele. Ezzel szemben egy tároló általában csak az operációs rendszert virtualizálja.
Tároló használatakor a benne futó alkalmazás nem lát más oldalt, amely ugyanazon a gépen fut, ahol egyes emberek elkezdenek összekeverni a bekapcsolt virtuális gépet. A tároló mindent tartalmaz, amely az alkalmazás futtatásához szükséges, beleértve a gazda operációs rendszer kernelét, valamint az eszközillesztőket, a hálózati eszközöket és a fájlrendszert.
Amikor a konténerkezelő rendszer, például a Docker, elindít egy konténert, az az operációs rendszer lemezképeinek tárolójából tölti be, amelyek mindegyikét telepíteni, ellenőrizni és még a tároló adminisztrátorának testreszabnia kell. Rengeteg speciális kép található különféle célokra, és megadhatja, hogy melyik képet kell használni egy adott munkaterheléshez. A standard képek konfigurációját még tovább testreszabhatja, ami nagyon hasznos lehet, ha az identitáskezelés, a felhasználói engedélyek vagy más biztonsági beállítások miatt aggódik.
Ne felejtse el a biztonságot
Esélyem nyílt arra, hogy megvitassuk a konténereknek az informatikai műveletekre gyakorolt hatását Matt Hollcraft-szal, a Maxim Integrated Cyber Risk Officer-szel, a nagyteljesítményű analóg és vegyes jelű integrált áramkör (IC) megoldások gyártójával, San Jose-ban, Kaliforniában.
"A konténerek megjelenése lehetővé teszi az informatikai szervezetek számára, hogy kiszolgálják szervezetüket, és elkerüljék a felhő és más infrastruktúra túlterhelését" - magyarázta Hollcraft. "Ezek lehetővé teszik, hogy a szolgáltatások folyékonyabban teljesüljenek" - mondta és hozzátette, hogy lehetővé teszik a szervezetek számára, hogy gyorsabban skálázhassanak fel és le, mert a teljes bekapcsolt virtuális gépekkel ellentétben a konténerek felfelé és hátrafelé foroghatnak. másodperc.
Ez azt jelenti, hogy elindíthatja vagy leállíthatja egy üzleti vonal teljes terhelését, például egy adatbázis-kiterjesztést, például egy teljes idő alatt, amely a teljes virtuális szerver aktiválásához szükséges. Ez azt jelenti, hogy az IT reagálási ideje a változó üzleti igényekre jelentős javulást fog tapasztalni, főleg mivel az előzetesen konfigurált és testreszabott szabványos OS képeket használva ezeket a tárolókat biztosítani tudja.
Ennek ellenére a Hollcraft figyelmeztette, hogy kritikus fontosságú a biztonság, mint a konténer konfigurációs folyamatának szokásos része. A működéshez a biztonságnak ugyanolyan agilisnak kell lennie, mint a konténernek. "A legfontosabb tulajdonságnak az agilitásnak kell lennie" - mondta Hollcraft, mert "fel kell emelkednie egy konténer védelmére."
Harmadik féltől származó segítség a konténer biztonságában
A Hollcraft elmondta, hogy van néhány kiberbiztonsági startup, amelyek elkezdenek kínálni az agilis biztonsági platformokat, amelyek szükségesek a konténerek informatikai eszközként való sikeres felhasználásához. A tároló-specifikus biztonság előnye, hogy lehetővé teszi az informatikai adminisztrátorok számára, hogy a biztonságot beépítsék a kezdeti tároló-architektúra folyamatába.
Az egyik induló vállalkozás, amely ilyen módon működik a konténerbiztonságon, az Aqua Security Software elnevezésű program, és egy új, kifejezetten a konténerhasználatra szánt terméket szállít, a MicroEnforcer néven. A MicroEnforcer a fejlesztési vagy konfigurációs folyamat elején bekerül a tartályba. Ezután, amikor a tároló elindul, a biztonság elindul vele. Mivel a konténer betöltése után nem változtatható meg, a biztonság megmarad.
"Ez lehetővé teszi a biztonsági emberek számára, hogy bejöjjenek, és a folyamat elején beállítsák a biztonságot" - mondta Amir Jerbi, az Aqua Security Software alapítója és műszaki vezetője. Azt mondta, hogy ez biztonságot teremt, mint szolgáltatás a konténerben. Ily módon a MicroEnforcer más konténerekben is látható lehet.
"Megnézheti egy tárolót, és megnézheti, hogy pontosan mit csinál a konténer, milyen folyamatok futnak, és mit olvas és ír." - mondta Jerbi. Hozzátette, hogy a MicroEnforcer riasztást küldhet, amikor olyan konténerben észlel tevékenységet, amelynek nem állítólag ott lennie, és leállíthatja a konténer mûveleteit, amikor ez történik.
Jó példa arra, hogy milyen tevékenységeket kereshet a MicroEnforcer: a tartályba injektált rosszindulatú programok. Nagyszerű példa erre az egyik újabb tárolóalapú támadás, amikor a kriptovaluta bányász szoftvert futtató konténert injektálják egy rendszerbe, ahol az erőforrásokat felszív, miközben pénzt keres valaki másnak. A MicroEnforcer képes felismerni az ilyen típusú tevékenységet, és azonnal befejezni.
A rosszindulatú szoftverek elleni küzdelem a konténerek egyik legnagyobb előnye, mivel a belső részük könnyen látható. Ez azt jelenti, hogy viszonylag könnyű figyelemmel kísérni működésüket, és viszonylag könnyű megakadályozni, hogy bármi rossz történjen.
Érdemes megjegyezni, hogy noha a konténerek már egy ideje elérhetők a Linux építészeti elemként, a Microsoft Windows rendszerben is elérhetőek. Valójában a Microsoft a Docker for Windows verzióját nyújtja, és útmutatásokat nyújt a tárolók létrehozásához a Windows Server és a Windows 10 rendszerben.
