يمكن أن تكون العبوات كبيرة ، لكن الأمن أمر بالغ الأهمية

ينظر العديد من مسؤولي تقنية المعلومات إلى الحاويات باعتبارها مجموعة أدوات لتطوير التطبيقات (app-dev) ، بما في ذلك المثالان الأكثر شيوعًا: Docker ، وسيلة للسيطرة على الحاويات ، و Kubernetes ، نظام مفتوح المصدر طورته Google لأتمتة نشر الحاويات ، وتوسيع نطاقها ، والإدارة. هذه أدوات رائعة ، لكن اكتشاف كيفية استخدامها خارج سياق التطبيق يمكن أن يكون سؤالًا صعبًا على المسؤولين المشغولين في عمليات تكنولوجيا المعلومات اليومية.

الإجابة المختصرة هي أن الحاويات ، إلى جانب طبقات الإدارة الخاصة بها ، بما في ذلك Docker و Kubernetes ، يمكن أن تجعل مهمة إدارة البنية التحتية لمشرف تقنية المعلومات أسهل. ليس ذلك فحسب ، بل يمكنهم أيضًا جعل تطبيقاتك أكثر أمانًا مع توفير دفعة كبيرة في الوقت نفسه.

السبب الحاويات يمكن أن تفعل كل هذا يرجع إلى هندستها المعمارية. على الرغم من أن الحاويات مصنفة كمحاكاة افتراضية ، إلا أنها ليست مثل الأجهزة الظاهرية (VMs) التي اعتاد معظم الناس على إدارتها. يعمل جهاز VM النموذجي على محاكاة جهاز كمبيوتر كامل وأي تطبيقات تعمل عليه أو حتى التواصل معه كجهاز حقيقي. الحاوية ، من ناحية أخرى ، تعمل بشكل عام على محاكاة نظام التشغيل (OS) فقط.

عندما تستخدم حاوية ، لا يمكن للتطبيق الذي يعمل بداخلها رؤية أي شيء آخر يعمل على نفس الجهاز ، حيث يبدأ بعض الأشخاص في الخلط بينه وبين VM كامل الوظائف. توفر الحاوية كل ما يحتاجه التطبيق لتشغيله ، بما في ذلك نواة نظام التشغيل المضيف بالإضافة إلى برامج تشغيل الأجهزة وأصول الشبكات ونظام الملفات.

عندما ينطلق نظام إدارة الحاوية ، Docker ، على سبيل المثال ، من حاوية ، فإنه يقوم بتحميلها من مستودع صور OS ، كل منها يحتاج إلى تثبيته ، وفحصه ، وحتى تخصيصه بواسطة مسؤول الحاوية. يمكن أن يكون هناك الكثير من الصور المتخصصة لأغراض مختلفة ويمكنك تحديد الصورة التي سيتم استخدامها لحجم العمل. يمكنك أيضًا تخصيص تكوين هذه الصور القياسية إلى أبعد من ذلك ، مما قد يكون مفيدًا جدًا عندما تكون قلقًا بشأن إدارة الهوية أو أذونات المستخدم أو إعدادات الأمان الأخرى.

لا تنسى الأمن

أتيحت لي الفرصة لمناقشة تأثير الحاويات على عمليات تكنولوجيا المعلومات مع مات هولكرافت ، كبير مسؤولي مخاطر الإنترنت في شركة Maxim Integrated ، وهي الشركة المصنعة لحلول الدوائر المتكاملة (IC) التناظرية عالية الأداء والإشارات المختلطة (IC) في سان خوسيه ، كاليفورنيا.

"إن ظهور الحاويات لديه القدرة على السماح لمؤسسة تكنولوجيا المعلومات بخدمة منظمتها وتجنب التحميل الزائد للسحابة والبنية التحتية الأخرى" ، أوضح هولكرافت. وقال "إنهم يسمحون لك بتقديم الخدمات بطريقة أكثر مرونة" ، مضيفًا أنهم يسمحون للمؤسسة بالارتقاء والنزول بسرعة أكبر لأنه ، على عكس VMs الكاملة ، يمكن نسج الحاويات وتراجعها في وقت قصير. ثواني.

هذا يعني أنه يمكنك تشغيل أو إيقاف تشغيل نسخة كاملة من عبء العمل على خط الأعمال ، مثل امتداد قاعدة البيانات ، على سبيل المثال ، في جزء صغير من الوقت الذي يستغرقه تنشيط خادم افتراضي كامل. هذا يعني أن وقت استجابة تكنولوجيا المعلومات لاحتياجات العمل المتغيرة سيشهد تحسنا ملحوظا ، خاصة وأنك ستتمكن من توفير تلك الحاويات باستخدام صور نظام التشغيل القياسية التي سبق تكوينها وتخصيصها.

ومع ذلك ، حذر Hollcraft من أهمية تضمين الأمان كجزء أساسي من عملية تكوين الحاوية. للعمل ، يجب أن يكون الأمن رشيقًا مثل الحاوية. وقال هولكرافت: "يجب أن تكون السمة الرئيسية هي الرشاقة ، لأنها تحتاج إلى تكثيف لحماية حاوية".

مساعدة الجهة الخارجية في أمان الحاوية

قال هولكرافت إن هناك بضع شركات ناشئة للأمن السيبراني بدأت في تقديم منصات أمنية رشيقة مطلوبة لاستخدام الحاويات بنجاح كأداة لتكنولوجيا المعلومات. تتمثل ميزة وجود أمان خاص بالحاويات في أنه يمكّن مدراء تقنية المعلومات من دمج الأمان كجزء من عملية هندسة الحاويات الأولية.

واحدة من الشركات الناشئة التي تعمل على حماية أمن الحاويات بهذه الطريقة تسمى Aqua Security Software وهي تقدم منتجًا جديدًا ، يسمى MicroEnforcer ، موجهًا بشكل خاص إلى حقيبة استخدام الحاويات. يتم إدخال MicroEnforcer في الحاوية في وقت مبكر من عملية التطوير أو التكوين. ثم ، عندما يتم تشغيل الحاوية ، يتم إطلاق الأمان معها. نظرًا لأنه لا يمكن تغيير الحاوية بمجرد تحميلها ، يوجد الأمان للبقاء.

وقال أمير الجربي مؤسس CTO لبرامج أكوا الأمنية: "إنه يسمح لأفراد الأمن بالدخول وإقامة الأمن في بداية العملية". وقال إنه يخلق الأمن كخدمة في الحاوية. بهذه الطريقة ، يمكن أن يكون MicroEnforcer رؤية في حاويات أخرى كذلك.

وقال الجربي "يمكنك أن تنظر إلى الحاوية لترى بالضبط ما تقوم به الحاوية وما هي العمليات التي تعمل وما هي القراءة والكتابة". وأضاف أنه يمكن لـ MicroEnforcer إرسال تنبيه عند اكتشاف نشاط في حاوية ليس من المفترض أن تكون موجودة ، ويمكن أن يوقف عمليات الحاوية عندما يحدث ذلك.

مثال جيد على نوع النشاط الذي يمكن أن تبحث عنه MicroEnforcer هو البرامج الضارة التي تم حقنها في حاوية. مثال رائع على ذلك قد يكون أحد الهجمات الأحدث المستندة إلى الحاوية التي يتم فيها ضخ حاوية تستخدم برنامج التعدين المشفر في نظام ، حيث تمتص الموارد أثناء جني الأموال لشخص آخر. يمكن لـ MicroEnforcer أيضًا اكتشاف هذا النوع من النشاط وإنهائه على الفور.

تعتبر مكافحة البرامج الضارة واحدة من المزايا الكبيرة للحاويات بسبب سهولة الرؤية التي توفرها داخلها. هذا يعني أنه من السهل نسبيًا مراقبة عملياتهم ومن السهل نسبيًا منع حدوث أي شيء سيء.

تجدر الإشارة إلى أنه على الرغم من توفر الحاويات كعنصر معماري لنظام Linux لبعض الوقت ، إلا أنها متوفرة أيضًا في Microsoft Windows. في الواقع ، توفر Microsoft إصدارًا من Docker for Windows وتوفر إرشادات حول كيفية إنشاء حاويات في Windows Server و Windows 10.