מכולות יכולות להיות נהדרות, אך האבטחה היא קריטית

מנהלי IT רבים רואים במכולות מערכת כלים לפיתוח אפליקציות (app-dev), כולל שתי הדוגמאות הפופולריות ביותר שלה: Docker, אמצעי לשליטה על מכולות, ו- Kubernetes, מערכת קוד פתוח שפותחה על ידי גוגל לאוטומציה של פריסת מכולות, שינוי גודל, והנהלה. אלה הם כלים מעולים, אבל להבין כיצד להשתמש בהם מחוץ להקשר של יישום אפליקציות יכולה להיות שאלה קשה עבור מנהלים המשובצים בפעולות IT יומיומיות.

התשובה הקצרה היא שמכולות, יחד עם שכבות הניהול שלהם, כולל Docker ו- Kubernetes, יכולים להקל על עבודת ניהול התשתיות של מנהל ה- IT. לא זו בלבד, אלא שהם יכולים גם להפוך את היישומים שלך לבטוחים יותר ובו זמנית לספק דחיפה גדולה בגמישות.

הסיבה שמכלים יכולים לעשות את כל זה נובעת מהארכיטקטורה שלהם. בעוד שמכולות מסווגות כווירטואליזציה, הן לא אותו דבר כמו המכונות הווירטואליות (VMs) שרוב אנשי ה- IT רגילים לנהל. VM אופייני וירטואליזציה של מחשב שלם וכל אפליקציה הפועלת עליו או אפילו סתם מתקשרת איתו כמכונה אמיתית. מכולה, לעומת זאת, בדרך כלל מווירטואליזציה של מערכת ההפעלה בלבד.

כשאתה משתמש במכולה, האפליקציה הפועלת בתוכו לא יכולה לראות שום דבר אחר שרץ באותה מכונה, וכאן אנשים מתחילים לבלבל אותה עם VM מלא. המיכל מספק את כל מה שהאפליקציה צריכה להריץ, כולל הגרעין של מערכת ההפעלה המארחת כמו גם מנהלי התקנים, נכסי רשת ומערכת קבצים.

כאשר מערכת ניהול המכולות, Docker למשל, בועטת מיכל, היא טוענת אותו ממאגר של תמונות מערכת הפעלה, שכל אחת מהן צריכה להיות מותקנת, לוודא ואף להתאים אותה על ידי מנהל המכיל. יכולות להיות הרבה תמונות מתמחות למטרות שונות ותוכלו לציין איזו תמונה אמורה לשמש לאיזה עומס עבודה. אתה יכול גם להתאים את התצורה של תמונות רגילות עוד יותר, מה שיכול להיות שימושי מאוד כשאתה מודאג מניהול זהויות, הרשאות משתמש או הגדרות אבטחה אחרות.

אל תשכח מאבטחה

היה לי סיכוי לדון בהשפעת המכולות על פעולות ה- IT עם מאט הולקראפט, מנהל סיכוני הסייבר הראשי של חברת Maxim Integrated, יצרן של פתרונות מעגל משולבים אנלוגיים ומשולבים עם אותות מעורבים (IC), הממוקמים בסן חוזה, קליף.

"להופעת המכולות יש פוטנציאל לאפשר לארגון ה- IT לשרת את הארגון שלהם ולהימנע מעומס יתר של ענן ותשתיות אחרות", הסביר הולקראפט. "הם מאפשרים לך לספק שירותים בצורה יותר נזילה", אמר, והוסיף כי הם מאפשרים לארגון להתדרדר במהירות למעלה ולמטה מכיוון שבניגוד למכונות וירטואליות מלאות, ניתן להחזיק מכולות למעלה ולמטה בעניין של שניות.

המשמעות היא שתוכל להפעיל או לעצור מופע מלא של עומס עבודה של קו עסקים, כמו סיומת מסד נתונים, למשל, בשבריר מהזמן שייקח להפעלת שרת וירטואלי מלא. משמעות הדבר היא שזמן התגובה של ה- IT לשינויים בצרכים העסקיים יראה שיפור ניכר, במיוחד מכיוון שתוכל לספק את אותם מכולות המשתמשות בתמונות הפעלה סטנדרטיות שכבר הוגדרו והותאמו מראש.

עם זאת, Hollcraft הזהיר כי חשוב לכלול אבטחה כחלק סטנדרטי בתהליך תצורת המכולות שלך. כדי לעבוד, הביטחון צריך להיות זריז כמו המכולה. "המאפיין הראשי צריך להיות זריזות, " אמר הולקראפט, מכיוון ש"הוא צריך להתעלות כדי להגן על מכולה."

עזרה של צד שלישי בביטחון מכולות

בהולקראפט אמרו כי ישנם כמה סטארט-אפים בתחום אבטחת הרשת המתחילים להציע את פלטפורמות האבטחה הזריזות הדרושות בכדי להשתמש במכולות בהצלחה ככלי IT. היתרון בכך שיש אבטחה ספציפית למכולות הוא בכך שהיא מאפשרת למנהלי IT לשלב אבטחה כחלק מתהליך ארכיטקטורת המכולות הראשונית.

אחד הסטארט-אפים שעושה עבודות אבטחת מכולות בדרך זו נקרא תוכנת Aqua Security והיא מספקת מוצר חדש, שנקרא MicroEnforcer, המכוון במיוחד למארז השימוש במכולות. MicroEnforcer מוחדר למכולה בשלב מוקדם של פיתוח או תצורה. ואז, כאשר המכולה משוגרת, האבטחה משגרת איתה. מכיוון שלא ניתן לשנות מכולה ברגע שהוא נטען, האבטחה שם כדי להישאר.

אמיר ג'רבי, מייסד CTO של חברת Aqua Security Software, אמר אמיר ג'רבי, מייסד CTO של Aqua Security Software. הוא אמר שזה יוצר ביטחון כשירות במכולה. באופן זה, MicroEnforcer יכולה להראות גם למכולות אחרות.

"אתה יכול להסתכל במכולה ולראות בדיוק מה המכולה עושה, אילו תהליכים פועלים ומה זה קורא וכותב, " אמר ג'רבי. הוא הוסיף כי MicroEnforcer יכול לשלוח אזעקה כאשר הוא מגלה פעילות במכולה שלא אמורה להיות שם, והיא יכולה לעצור את פעולות המיכל כשזה קורה.

דוגמה טובה לסוג הפעילות ש- MicroEnforcer יכולה לחפש עשויה להיות תוכנה זדונית שהוזרקה למכולה. דוגמה נהדרת לכך יכולה להיות אחת מההתקפות החדשות יותר על בסיס מכולות בהן מוזרק מכולה שמפעילה תוכנת כריית cryptocurrency למערכת, שם היא מוצצת משאבים בזמן שהיא מרוויחה כסף למישהו אחר. MicroEnforcer יכול גם לזהות את סוג הפעילות הזה ולסיים אותו מייד.

להילחם בתוכנה זדונית הוא אחד היתרונות הגדולים של מכולות בגלל הראות הקלה שהם מספקים בפנימיות שלהם. משמעות הדבר היא שקל יחסית לעקוב אחר פעולותיהם וקל יחסית למנוע דבר רע.

ראוי לציין כי בעוד שמכולות זמינות כאלמנט אדריכלי עבור Linux מזה זמן, הן זמינות גם ב- Microsoft Windows. למעשה, מיקרוסופט מספקת גרסת Docker עבור Windows ומספקת הוראות כיצד ליצור מכולות ב- Windows Server וב- Windows 10.