Točna definicija računalniškega pojma vsebnik (ang. container) ne obstaja, v splošnem označuje proces (oziroma skupino procesov), ki je z različnimi mehanizmi operacijskega sistema izoliran od ostalih procesov.
Docker definira vsebnike kot mehanizem, ki program ovije v dokončen datotečni sistem, ki vsebuje vse potrebno za izvajanje, torej programsko kodo, izvajalno okolje, sistemska orodja in sistemske knjižnice. S tem zagotavlja, da se program vedno izvaja pod enakimi pogoji ne glede na izvajalno okolje.
Vsakega izvršnega direktorja nedvomno skrbi kibernetsko tveganje. Stavim, da bo marsikdo od vas verjetno spregledal veliko vrzel v vaši strategiji v oblaku: luknjo v vašem Dockerju.
Govorimo seveda o Dockerju, najbolj priljubljeni platformi za zabojnike programske opreme na svetu. Čeprav morda niste dobro seznanjeni z vsebniki (ali aplikacijami, ki se pogosto izvajajo znotraj njih), vam lahko zagotovim, da jih CTO, CIO in razvijalci dobro poznajo. Če je vaša organizacija preselila delovne obremenitve v javni oblak, bodo vaše ekipe verjetno do kolen globoko v vsebnikih in mikro servisih.
To bi morala biti deloma dobra novica, saj so vsebniki in mikroservisi ključni dejavniki pri iskanju digitalne preobrazbe. V zadnjih 18 mesecih so večino organizacij prevzeli nevihte. Morate se jih zavedati in svojim skupinam postavljati prava vprašanja, s katerimi lahko hitreje premikate svojo organizacijo naprej.
Ne bom olepševal stvari z zakritimi tehničnimi podrobnostmi, tukaj je zbrano tisto, kar bi morali vedeti:
- si zmanjšujejo zahtevnost, saj programsko opremo obravnavajo kot majhne, prebavljive, okretne dele kode, dobavljene kot "storitev" in ne kot tradicionalni software program. Mikroservis vse pogosteje nadomešča tiste zvite, drage, težko uvajajoče se starejše aplikacije, ki že desetletja dominirajo v vaših podatkovnih centrih.
- Vsebniki pospešujejo prenosnost in omogočajo, da se aplikacije izvajajo na najprimernejšem in prilagodljivem mestu - v javnem oblaku, zasebnem oblaku, v lokalnem okolju ali v fizični ali virtualni infrastrukturi. Vsebniki so dokaj lahki, saj ne vsebujejo operacijskega sistema, kot bi ga imel običajni VM.
- Kontejnersko okolje ima veliko več plasti abstrakcije, ki zahtevajo specializirana orodja za razlago, spremljanje in zaščito teh novih aplikacij. V okolju proizvodnih vsebnikov morate zaščititi več različnih slojev.
To je bila pozitivna stran vsebnikov, vendar obstaja tudi temna stran. Kar zadeva obvladovanje novih tveganj, ki jih prinašajo vsebniki, številne varnostne ekipe uporabljajo enega od dveh pristopov.
Celovita strategija v oblaku
Z vidika varnosti je resnično vrednost vsebnikov in mikroservisov mogoče doseči le, če so zavarovani kot del obsežne varnostne strategije v oblaku, ki temelji na standardih. Organizacije so v zadnjem desetletju padle v past razmišljanja, da več varnostnih orodij enači boljšo varnost. Na žalost imamo zdaj več varnostnih orodij kot kdaj koli prej, vendar o kršitvah še naprej poročajo v velikh številkah. Več varnostnih orodij ne pomeni večje varnosti.
Kar nas vrne nazaj v prej omenjeno “luknjo v vašem Dockerju.” V začetku leta 2019 je prišlo do zaskrbljujočega razvoja: poročalo se je o kritični ranljivosti, ki je vplivala na osnovni program, ki podpira Docker in druge povezane storitve. Ta ranljivost je bila izredno resna, saj je napadalcu omogočila popoln nadzor nad vsebnikom in vsemi drugimi vsebniki, ki delujejo na platformi.
Če sta CISO ali CIO sprejela ukrepe za izdelavo celovitih varnostnih programov v oblaku - v najboljšem primeru takšne, ki vključujejo tako imenovano triažo za zaščito vsebnikov -, ste v takšnem položaju, da se lahko izognete glavobolom in tveganjem, ki jih ta ranljivost lahko povzroči. Seveda, če nimate celovite varnostne strategije v oblaku, ki vsebuje tudi vsebnike in mikroservise, bi bil zdaj pravi čas, da premislite o tem.
Sprejmite “Varnostno triado vsebnika”
Triad Container Security ima tri ključne elemente v svojem okviru za zmanjšanje tveganja - graditi, namestiti in zagnati. Ko ekipe ustvarjajo vsebnike, je to faza izdelave. Poudarek mora biti na odkrivanju in odpravljanju znanih ranljivosti, pa tudi na prepoznavanju novih ranljivosti (splošno znanih kot ničelni dan oziroma 0-day).
Varnost uvajanja je kritični del enačbe, saj pomaga zagotoviti, da slabo izdelani vsebniki ne pridejo do produkcije. Zamislite si to kot generalni izvajalec, ki gradi vašo hišo, in preverite, ali so materiali, uporabljeni v postopku gradnje, brez napak.
Izvajanje prinaša dodatna tveganja. Varnost izvajanja se osredotoča na zaščito delujočih vsebnikov in z njimi povezane infrastrukture, kot so Kubernetes, Dockerjev pogon ali osnovni gostitelj. Najučinkovitejši način za obvladovanje tveganja je merjenje obnašanja vsebnikov glede na znano osnovo. Če veste, kaj je “normalno” za vsebnik, lahko agresivno ukrepate, ko opazite odstopanje od neke osnovne črte. To je še ena prednost vsebnikov. Ker ponavadi delajo le eno stvar, je preprosto določiti njihovo vedenje in opaziti, kdaj se dogajajo nepravilnosti.
“Prehitro” ne obstaja
Številni izvršni direktorji, člani upravnih odborov in vodstveni delavci veliko poslušajo o prednostih vsebnikov in mikroservisov in postajajo zelo zadovoljni z mislijo, da te tehnologije pomagajo njihovim organizacijam, da postanejo bolj gibčne, bolj prožne in bolj digitalne. Vendar se morate zavedati, da znotraj vaše organizacije obstaja potencial za "zanimiv" konflikt glede tega, kako hitro morate sprejeti in omogočiti vsebnike in mikroservise.
Na primer, če se sredi DevOps manije pogovarjate z ekipo razvijalcev, vam bodo povedali, da se ne morete premikati dovolj hitro brez vsebnikov in mikroservisov. Toda skupina za varnostne operacije, zadolžena za zagotavljanje najvišje možne stopnje kibernetske varnosti, tega entuziazma ne more vedno deliti.
Vsebniki in mikroservisi so neizprosne sile, ki ne samo pospešijo izdajo nove programske opreme, ampak lahko tudi močno pomagajo pri zmanjševanju zahtevnosti programske kode, ki je prepogosto v središču ranljivosti kibernetske varnosti. Tukaj pride na vrsto Triad Container Security; če je pravilno načrtovan in izveden, lahko olajša miselnost "premik levo" za varnost, ki to pogosto imenujejo varnostne ekipe.
Če uporabljamo vsebnike, ali so vključeni v našo skupno varnostno strategijo v oblaku?
Če niso, je pravi čas, da vprašate, zakaj in kako se trenutno ukvarjajo z njimi. Če se uporablja taktičen pristop z varnostno točko, glede na širjenje varnostnih orodij v večini organizacij to ni dobra pot naprej.
Če pustimo zapletenost - naj gre za vsebnike, mikroservise ali katero koli tehnologijo, ki olajša hitro in zanesljivo zagotavljanje IT-storitev za podjetja - smo na poti, da naredimo podjetje bolj varno. V nasprotju s tem, če stvari naredimo bolj zapletene s plastenjem na še več varnostnih orodij, ne samo povečamo kompleksnost, temveč tudi tvegamo.
Preveč ljudi še vedno vidi kibernetsko varnost kot tehnično področje. To je napaka, ker je varnost proces, ne izdelek. (Bruce Schneier)