Produkt został dodany do zapytania.
Jak odpowiednio zabezpieczać kontenery? Debata trwa.
W świecie kontenerowej wirtualizacji aplikacji bezpieczeństwo stanowi absolutny priorytet. Zarówno w trakcie konferencji DockerCon EU, która odbyła się w zeszłym miesiące w Barcelonie, jak i podczas nowojorskiego Tectonic Summit, wszystkie najważniejsze prezentacje dotyczyły kwestii bezpieczeństwa. I choć nowych informacji w tym zakresie nie brakuje to debata na temat tego jaki jest najlepszy sposób na zadbanie o nie nadal trwa.
Docker Inc., główny sponsor stojący za projektem open source Docker, ogłosił w trakcie DockerCon EU szereg podjętych działań mających zwiększyć poziom bezpieczeństwa, w tym projekt Nautilus służący do skanowania obrazów aplikacji Docker. Chcąc utrzymać odpowiedni poziom konkurencji, firma CoreOS – jeden z głównych rywali Docker – ogłosił w trakcie Tectonic Event nowe rozwiązanie Distributed Trusted Computing.
W pewnych aspektach technologie zaprezentowane przez CoreOS i Docker Inc. są podobne, główną różnicę stanowi podejście obu firm. Podczas gdy Nautilus ma na celu skanowanie obrazów aplikacji, projekt Clair od CoreOS skanuje obrazy kontenerów szukając luk w ich bezpieczeństwie.
Jeśli chodzi o sprzętowe szyfrowanie, CoreOS wykorzystuje koncepcję Trusted Computing łącznie z urządzeniami w ramach Trusted Platform Module w celu stworzenia i umożliwienia funkcjonowania tzw. łańcucha zaufania (ang. chain of trust) pomiędzy kontenerowymi aplikacjami operującymi na sprzęcie, który może być skontrolowany i zweryfikowany. Docker również wykorzystuje sprzęt do celów bezpieczeństwa, robi to jednak w inny sposób. W trakcie DockerCon EU firma zaprezentowała klucze USB Yubico, które mogą być stosowane do podpisywania prywatnych kluczy szyfrowania dla obrazów aplikacji.
Trwa również debata na temat tego jak wiele kontenerów powinno operować w ramach jednego systemu. Dyskusja obejmujące tę kwestię odbywała się podczas jednego z paneli na Tectonic Summit. W panelu tym wzięli udział: Matther Garret – główny inżynier oprogramowania bezpieczeństwa w CoreOS, Tim Hobbs – doradca CA Technologies oraz Frank Macreery, współzałożyciel i główny inżynier Aptible.
Jedno z głównych pytań postawionych w trakcie spotkania dotyczyło tego, czy praca kontenera w ramach hipernadzorcy jest najlepszym rozwiązaniem. Uczestnicy potwierdzili, że dla uzyskania najlepszej izolacji i kontroli bezpieczeństwa wykorzystanie hipernadzorcy jest najbardziej efektywną praktyką. To model działania popierany przez CoreOS także w kontekście ich kontenerowego silnika rocket (rkt), która integruje się z technologią Clear Containers of Intel. Clear Containers to hipernadzorca wirtualizacji, który został stworzony specjalnie z myślą o pracy z kontenerami.
Tożsamość jest także gorącym tematem w obszarze bezpieczeństwa IT. CoreOS posiada w swoim portfolio technologię identyfikacji o nazwie Dex, która ma pomóc organizacjom w kontrolowaniu dostępu użytkowników do kontenerowych aplikacji.
Warto wspomnieć także o długiej historii technologii identyfikacji użytkowników firmy CA Technologies. Tim Hobbs podkreślił, że integrowanie istniejących form autentyfikacji użytkownika i polityki kontroli jest ważne dla kontenerów, podobnie zresztą jak w przypadku instalacji innych form aplikacji.
Istotne jest także to, że głównym motorem napędowym wielu wydatków w zakresie bezpieczeństwa jest konieczność dopasowania do norm prawnych. Podczas konferencji Docker, Udo Seidel, główny architekt Amadeus, szczegółowo opisał jak jego firma zdołała wykorzystać kontenery Docker do osiągnięcia zgodności z wyśrubowanymi wymaganiami Payment Card Industry Security Standard (PCI DSS). Frank Macreery wyjaśnił z kolei jak Aptible było w stanie sprostać wymaganiom amerykańskiego Health Insurance Portability and Accountability Act (HIPPAA). Dla obu organizacji bezpieczeństwo danych jest sprawą kluczową, a możliwość izolacji kontenerów może pomóc osiągnąć jego odpowiedni poziom.
Podczas gdy zainteresowanie kontenerami znacząco wzrosło w ciągu ostatnich dwóch lat należy pamiętać, że koncepcja tej technologii istnieje już od dłuższego czasu. W Linux istnieją LXC (Linux Containers), w Solarix Unix – Zones, a w FreeBSD – koncepcja Jails. Pytanie brzmi: co zmieniło się w zakresie bezpieczeństwa kontenerów od początku ich powstania.
Odpowiedź jest taka sama jak ta udzielona dekadę temu na pytanie dotyczące rozwoju firmy VMware w kontekście niemal półwiecznej historii wirtualizacji w IBM. Różnicą są aplikacje oraz zwiększona ilość wdrożeń w systemach rozproszonych. Dodatkowo, mimo że zagrożenia atakami samych kontenerów i aplikacji w nich pracujących nie są nowe, użytkownicy którzy zaczynają pracę z tą technologią mogą nie być zaznajomieni z najlepszymi praktykami, które są już znane w branży.
Podstawowe założenia bezpieczeństwa kontenerów zostały już nakreślone, nie wyklucza to natomiast, że nowe koncepcje w tym zakresie pojawią się w przyszłości. Nie można nie zwrócić w tym przypadku uwagi na to jak często środowiska zainteresowane danym tematem mogą na skutek intensywnych badań wskazać słabości w niemal wszystkich klasach oprogramowania i infrastruktury. Nie ma wątpliwości, że wraz z rozwojem kontenerów i coraz większą skalą ich instalacji, specjaliści zajmujący się badaniem bezpieczeństwa będą w stanie wskazać kolejne zagrożenia i problemy tego rozwiązania.