Sommario:
Video: Il fantastico (Settembre 2024)
Molti amministratori IT considerano i container come un set di strumenti per lo sviluppo di applicazioni (app-dev), inclusi i suoi due esempi più popolari: Docker, un mezzo per controllare i container e Kubernetes, un sistema open source sviluppato da Google per automatizzare la distribuzione dei container, il ridimensionamento e gestione. Questi sono ottimi strumenti, ma capire come usarli al di fuori di un contesto di sviluppo di app può essere una domanda difficile per gli amministratori coinvolti nelle operazioni IT quotidiane.
Il motivo per cui i contenitori possono fare tutto ciò è dovuto alla loro architettura. Mentre i contenitori sono classificati come virtualizzazione, non sono la stessa cosa delle macchine virtuali (VM) che la maggior parte delle persone IT sono abituate a gestire. Una macchina virtuale tipica virtualizza un computer completo e tutte le app in esecuzione su di esso o anche solo comunicando con esso come una macchina reale. Un contenitore, d'altra parte, generalmente virtualizza solo il sistema operativo (SO).
Quando si utilizza un contenitore, l'app che viene eseguita al suo interno non può vedere nient'altro in esecuzione sullo stesso computer, che è il punto in cui alcune persone iniziano a confonderlo con una VM full-on. Il contenitore fornisce tutto ciò di cui l'app deve eseguire, incluso il kernel del sistema operativo host, nonché i driver di dispositivo, le risorse di rete e un file system.
Quando il sistema di gestione dei container, Docker ad esempio, dà il via a un container, lo carica da un repository di immagini del sistema operativo, ognuna delle quali deve essere stata installata, verificata e persino personalizzata dall'amministratore del container. Ci possono essere molte immagini specializzate per scopi diversi e puoi specificare quale immagine deve essere utilizzata per quale carico di lavoro. Puoi anche personalizzare ulteriormente la configurazione di quelle immagini standard, il che può essere molto utile quando sei preoccupato per la gestione delle identità, le autorizzazioni utente o altre impostazioni di sicurezza.
Non dimenticare la sicurezza
Ho avuto la possibilità di discutere l'impatto dei container sulle operazioni IT con Matt Hollcraft, Chief Cyber Risk Officer di Maxim Integrated, un produttore di soluzioni di circuiti integrati analogici e a segnale misto (IC) ad alte prestazioni con sede a San Jose, in California.
"L'emergere di container ha il potenziale per consentire all'organizzazione IT di servire la propria organizzazione ed evitare il sovraccarico di cloud e altre infrastrutture", ha spiegato Hollcraft. "Ti consentono di fornire servizi in modo più fluido", ha aggiunto, aggiungendo che consentono a un'organizzazione di espandersi e ridimensionarsi più rapidamente perché, a differenza delle VM full-on, i container possono essere ruotati su e giù in una questione di secondi.
Ciò significa che è possibile avviare o arrestare un'istanza completa di un carico di lavoro della linea di business, ad esempio un'estensione del database, in una frazione del tempo necessario per attivare un server virtuale completo. Ciò significa che il tempo di risposta dell'IT alle mutevoli esigenze aziendali vedrà un netto miglioramento, soprattutto perché sarai in grado di fornire quei contenitori utilizzando immagini del sistema operativo standard che sono già state preconfigurate e personalizzate.
Tuttavia, Hollcraft ha avvertito che è fondamentale includere la sicurezza come parte standard del processo di configurazione del container. Per funzionare, la sicurezza deve essere agile come il contenitore. "L'attributo principale deve essere l'agilità", ha detto Hollcraft, perché "deve accelerare per proteggere un container".
Aiuto di terze parti con la sicurezza dei container
Hollcraft ha affermato che ci sono un paio di startup di cybersecurity che stanno iniziando a offrire le agili piattaforme di sicurezza necessarie per utilizzare con successo i container come strumento IT. Il vantaggio di avere una sicurezza specifica per container è che consente agli amministratori IT di integrare la sicurezza come parte del processo iniziale di architettura del container.
Una delle startup che fa funzionare la sicurezza dei container in questo modo si chiama Aqua Security Software e sta offrendo un nuovo prodotto, chiamato MicroEnforcer, destinato specificamente al caso d'uso dei container. MicroEnforcer viene inserito nel contenitore all'inizio del processo di sviluppo o configurazione. Quindi, quando viene avviato il contenitore, la sicurezza viene avviata con esso. Poiché un contenitore non può essere modificato una volta caricato, la sicurezza è lì per rimanere.
"Consente agli addetti alla sicurezza di entrare e impostare la sicurezza all'inizio del processo", ha affermato Amir Jerbi, fondatore e CTO di Aqua Security Software. Ha detto che crea sicurezza come servizio nel container. In questo modo, MicroEnforcer può avere visibilità anche in altri contenitori.
"Puoi guardare un contenitore e vedere esattamente cosa sta facendo il contenitore, quali processi sono in esecuzione e cosa sta leggendo e scrivendo", ha detto Jerbi. Ha aggiunto che MicroEnforcer può quindi inviare un avviso quando rileva attività in un contenitore che non dovrebbe essere lì, e può interrompere le operazioni del contenitore quando ciò accade.
Un buon esempio del tipo di attività che MicroEnforcer può cercare potrebbe essere il malware che è stato iniettato in un contenitore. Un ottimo esempio di questo potrebbe essere uno dei più recenti attacchi basati su container in cui un contenitore che esegue software di mining di criptovaluta viene iniettato in un sistema, in cui aspira risorse mentre fa soldi per qualcun altro. MicroEnforcer può anche rilevare quel tipo di attività e interromperla immediatamente.
La lotta al malware è uno dei maggiori vantaggi dei container grazie alla facile visibilità che forniscono ai loro interni. Ciò significa che è relativamente facile monitorare le loro operazioni e relativamente facile prevenire che accada qualcosa di brutto.
Vale la pena notare che, mentre i contenitori sono stati disponibili come elemento architettonico per Linux per qualche tempo, sono disponibili anche in Microsoft Windows. In effetti, Microsoft fornisce una versione di Docker per Windows e fornisce istruzioni su come creare contenitori in Windows Server e Windows 10.
