ภาชนะบรรจุอาจดี แต่ความปลอดภัยเป็นสิ่งสำคัญ

ผู้ดูแลระบบไอทีหลายคนมองว่าคอนเทนเนอร์เป็นชุดเครื่องมือพัฒนาแอพพลิเคชั่น (app-dev) รวมถึงสองตัวอย่างที่นิยมมากที่สุด: นักเทียบท่าวิธีควบคุมคอนเทนเนอร์และ Kubernetes ระบบโอเพ่นซอร์สที่พัฒนาโดย Google เพื่อทำการปรับใช้คอนเทนเนอร์อัตโนมัติ และการจัดการ สิ่งเหล่านี้เป็นเครื่องมือที่ยอดเยี่ยม แต่การหาวิธีใช้งานนอกบริบทแอพอาจเป็นคำถามที่ยากสำหรับผู้ดูแลระบบที่แพร่หลายในการดำเนินงานด้านไอทีในแต่ละวัน

คำตอบสั้น ๆ คือคอนเทนเนอร์รวมถึงชั้นการจัดการรวมถึง Docker และ Kubernetes สามารถทำให้การจัดการโครงสร้างพื้นฐานของผู้ดูแลระบบไอทีทำได้ง่ายขึ้น ไม่เพียงแค่นั้น แต่ยังสามารถทำให้แอปพลิเคชันของคุณปลอดภัยยิ่งขึ้นในขณะเดียวกันก็ให้ความยืดหยุ่นที่เพิ่มขึ้นอย่างมาก

เหตุผลที่คอนเทนเนอร์สามารถทำได้ทั้งหมดนี้เกิดจากสถาปัตยกรรมของพวกเขา ในขณะที่คอนเทนเนอร์จัดอยู่ในประเภทของการทำเสมือนจริงพวกเขาไม่ได้เหมือนกับเครื่องเสมือนจริง (VMs) คนไอทีส่วนใหญ่คุ้นเคยกับการจัดการ VM โดยทั่วไปสร้างคอมพิวเตอร์ที่สมบูรณ์และแอพพลิเคชั่นใด ๆ ก็ตามที่ทำงานอยู่หรือแม้แต่แค่สื่อสารกับมันในฐานะเครื่องจริง ในทางกลับกันคอนเทนเนอร์มักทำเวอร์ชวลไลซ์เฉพาะระบบปฏิบัติการ (OS)

เมื่อคุณใช้คอนเทนเนอร์แอพที่ทำงานอยู่ภายในจะไม่เห็นสิ่งใดที่ทำงานบนเครื่องเดียวกันซึ่งเป็นที่ที่บางคนเริ่มสับสนกับ VM แบบเต็ม คอนเทนเนอร์จัดเตรียมทุกสิ่งที่แอพจำเป็นต้องใช้งานรวมถึงเคอร์เนลของโฮสต์ระบบปฏิบัติการรวมถึงไดรเวอร์อุปกรณ์สินทรัพย์เครือข่ายและระบบไฟล์

เมื่อระบบการจัดการคอนเทนเนอร์นักเทียบท่าเริ่มเตะออกจากคอนเทนเนอร์มันจะโหลดจากที่เก็บของอิมเมจระบบปฏิบัติการซึ่งแต่ละระบบต้องติดตั้งตรวจสอบและปรับแต่งโดยผู้ดูแลระบบคอนเทนเนอร์ อาจมีรูปภาพพิเศษมากมายสำหรับวัตถุประสงค์ที่แตกต่างกันและคุณสามารถระบุรูปภาพที่จะใช้สำหรับเวิร์กโหลดใด คุณยังสามารถปรับแต่งการกำหนดค่าของรูปภาพมาตรฐานเหล่านั้นให้ดียิ่งขึ้นซึ่งจะมีประโยชน์มากเมื่อคุณกังวลเกี่ยวกับการจัดการข้อมูลประจำตัวการอนุญาตผู้ใช้หรือการตั้งค่าความปลอดภัยอื่น ๆ

อย่าลืมความปลอดภัย

ฉันมีโอกาสพูดคุยเกี่ยวกับผลกระทบของภาชนะบรรจุที่มีต่อการดำเนินงานด้านไอทีกับ Matt Hollcraft หัวหน้าเจ้าหน้าที่ความเสี่ยงทางไซเบอร์ของ Maxim Integrated ผู้ผลิตโซลูชันวงจรรวมอนาล็อกและสัญญาณผสมที่มีประสิทธิภาพสูงตั้งอยู่ที่เมืองซานโฮเซ่รัฐแคลิฟอร์เนีย

“ การเกิดขึ้นของภาชนะบรรจุนั้นมีศักยภาพที่จะช่วยให้องค์กรด้านไอทีสามารถให้บริการแก่องค์กรของพวกเขาและหลีกเลี่ยงการโอเวอร์คลาวด์และโครงสร้างพื้นฐานอื่น ๆ ได้” Hollcraft อธิบาย "พวกเขาอนุญาตให้คุณส่งมอบบริการได้อย่างลื่นไหลมากขึ้น" เขากล่าวเสริมว่าพวกเขาอนุญาตให้องค์กรขยายและลดขนาดได้เร็วขึ้นเนื่องจากไม่เหมือนกับ VM แบบเต็มรูปแบบคอนเทนเนอร์สามารถหมุนขึ้นและลงได้ วินาที

ซึ่งหมายความว่าคุณสามารถเปิดหรือหยุดอินสแตนซ์ทั้งหมดของเวิร์กโหลดสายงานธุรกิจเช่นส่วนขยายฐานข้อมูลตัวอย่างเช่นในเวลาไม่นานที่ใช้ในการเปิดใช้งานเซิร์ฟเวอร์เสมือนแบบเต็ม ซึ่งหมายความว่าเวลาตอบสนองของ IT ต่อความต้องการทางธุรกิจที่เปลี่ยนแปลงจะเห็นได้ชัดเจนว่ามีการปรับปรุงโดยเฉพาะอย่างยิ่งเนื่องจากคุณจะสามารถให้บริการคอนเทนเนอร์เหล่านั้นโดยใช้อิมเมจระบบปฏิบัติการมาตรฐานที่ได้รับการกำหนดค่าล่วงหน้าและปรับแต่งแล้ว

ถึงกระนั้น Hollcraft เตือนว่าเป็นเรื่องสำคัญที่จะต้องรวมความปลอดภัยเป็นส่วนมาตรฐานของกระบวนการกำหนดค่าคอนเทนเนอร์ของคุณ ในการทำงานความปลอดภัยจะต้องมีความคล่องตัวเท่ากับคอนเทนเนอร์ "คุณสมบัติหัวหน้าต้องมีความคล่องตัว" Hollcraft กล่าวเพราะ "จำเป็นต้องเพิ่มทางลาดเพื่อป้องกันคอนเทนเนอร์"

ความช่วยเหลือจากบุคคลที่สามเกี่ยวกับความปลอดภัยของตู้คอนเทนเนอร์

Hollcraft กล่าวว่ามีการเริ่มต้นระบบรักษาความปลอดภัยไซเบอร์สองสามตัวที่เริ่มให้บริการแพลตฟอร์มความปลอดภัยที่จำเป็นในการใช้คอนเทนเนอร์เป็นเครื่องมือด้านไอที ข้อดีของการมีความปลอดภัยของตู้คอนเทนเนอร์โดยเฉพาะคือช่วยให้ผู้ดูแลระบบไอทีรวมการรักษาความปลอดภัยเข้าเป็นส่วนหนึ่งของกระบวนการสร้างสถาปัตยกรรมคอนเทนเนอร์เริ่มต้น

หนึ่งในสตาร์ทอัพที่ทำให้การรักษาความปลอดภัยตู้คอนเทนเนอร์ทำงานในลักษณะนี้เรียกว่า Aqua Security Software และมีการส่งมอบผลิตภัณฑ์ใหม่ที่เรียกว่า MicroEnforcer ซึ่งมีจุดประสงค์เฉพาะในกรณีที่ใช้คอนเทนเนอร์ MicroEnforcer ถูกแทรกลงในคอนเทนเนอร์ในช่วงต้นของกระบวนการพัฒนาหรือกำหนดค่า จากนั้นเมื่อคอนเทนเนอร์ถูกเปิดใช้งานความปลอดภัยจะเปิดขึ้นพร้อมกับมัน เนื่องจากคอนเทนเนอร์ไม่สามารถเปลี่ยนแปลงได้เมื่อโหลดแล้วจึงมีการรักษาความปลอดภัยอยู่

Amir Jerbi ผู้ก่อตั้งและ CTO ของ Aqua Security Software กล่าวว่า "ช่วยให้ผู้ใช้ด้านความปลอดภัยสามารถเข้ามาและตั้งค่าความปลอดภัยได้ในตอนต้นของกระบวนการ" เขาบอกว่ามันสร้างความปลอดภัยเป็นบริการในภาชนะ ด้วยวิธีนี้ MicroEnforcer สามารถมองเห็นภาชนะอื่น ๆ ได้เช่นกัน

“ คุณสามารถดูที่บรรจุภัณฑ์และดูสิ่งที่กำลังทำอยู่สิ่งที่กระบวนการกำลังทำงานอยู่และสิ่งที่กำลังอ่านและเขียน” Jerbi กล่าว เขาเสริมว่า MicroEnforcer สามารถส่งการแจ้งเตือนเมื่อตรวจพบกิจกรรมในคอนเทนเนอร์ที่ไม่ควรอยู่ที่นั่นและสามารถหยุดการทำงานของคอนเทนเนอร์เมื่อเกิดเหตุการณ์ขึ้น

ตัวอย่างที่ดีของการเรียงลำดับของกิจกรรมที่ MicroEnforcer สามารถค้นหาอาจเป็นมัลแวร์ที่ถูกฉีดเข้าไปในคอนเทนเนอร์ ตัวอย่างที่ดีของสิ่งนี้อาจเป็นหนึ่งในการโจมตีตามคอนเทนเนอร์ที่ใหม่กว่าซึ่งคอนเทนเนอร์ที่รันซอฟต์แวร์การขุด cryptocurrency ถูกฉีดเข้าไปในระบบซึ่งมันดูดทรัพยากรในขณะที่ทำเงินให้คนอื่น MicroEnforcer ยังสามารถตรวจจับประเภทของกิจกรรมนั้นและสิ้นสุดทันที

การต่อสู้กับมัลแวร์เป็นหนึ่งในข้อได้เปรียบที่ยิ่งใหญ่ของคอนเทนเนอร์ ซึ่งหมายความว่ามันค่อนข้างง่ายต่อการตรวจสอบการดำเนินงานของพวกเขาและค่อนข้างง่ายต่อการป้องกันสิ่งที่ไม่ดีเกิดขึ้น

เป็นที่น่าสังเกตว่าในขณะที่คอนเทนเนอร์นั้นมีให้เป็นองค์ประกอบทางสถาปัตยกรรมสำหรับ Linux อยู่พักหนึ่งก็มีอยู่ใน Microsoft Windows เช่นกัน ในความเป็นจริง Microsoft ได้จัดเตรียม Docker สำหรับ Windows และให้คำแนะนำเกี่ยวกับวิธีสร้างคอนเทนเนอร์ใน Windows Server และ Windows 10