Mục lục:
Video: CẢNH NGƯỜI DÂN HUYỆN VẠN NINH- KHÁNH HÒA NHẬN HÀNG CỨU TRỢ Sau Bão Số 12 (Tháng Chín 2024)
Nhiều quản trị viên CNTT xem các container như một bộ công cụ phát triển ứng dụng (dev-dev), bao gồm hai ví dụ phổ biến nhất của nó: Docker, một phương tiện kiểm soát các container và Kubernetes, một hệ thống nguồn mở do Google phát triển để tự động triển khai container, mở rộng và quản lý. Đây là những công cụ tuyệt vời, nhưng tìm ra cách sử dụng chúng bên ngoài bối cảnh ứng dụng có thể là một câu hỏi khó đối với các quản trị viên chìm đắm trong các hoạt động CNTT hàng ngày.
Các lý do container có thể làm tất cả điều này là do kiến trúc của họ. Mặc dù các container được phân loại là ảo hóa, nhưng chúng không giống với các máy ảo (VM), hầu hết mọi người CNTT đều quen với việc quản lý. Một VM thông thường ảo hóa một máy tính hoàn chỉnh và bất kỳ ứng dụng nào chạy trên nó hoặc thậm chí chỉ giao tiếp với nó như một máy thật. Mặt khác, một container thường chỉ ảo hóa hệ điều hành (HĐH).
Khi bạn sử dụng một bộ chứa, ứng dụng chạy bên trong nó không thể thấy bất cứ thứ gì khác chạy trên cùng một máy, đó là nơi một số người bắt đầu nhầm lẫn nó với máy ảo đầy đủ. Container cung cấp mọi thứ mà ứng dụng cần để chạy, bao gồm kernel của HĐH máy chủ cũng như trình điều khiển thiết bị, tài sản mạng và hệ thống tệp.
Khi hệ thống quản lý vùng chứa, ví dụ Docker, khởi động một container, nó sẽ tải nó từ một kho lưu trữ hình ảnh hệ điều hành, mỗi cái cần phải được cài đặt, hiệu đính và thậm chí tùy chỉnh bởi quản trị viên container. Có thể có nhiều hình ảnh chuyên dụng cho các mục đích khác nhau và bạn có thể chỉ định hình ảnh nào sẽ được sử dụng cho khối lượng công việc. Bạn cũng có thể tùy chỉnh cấu hình của những hình ảnh tiêu chuẩn đó hơn nữa, điều này có thể rất tiện lợi khi bạn lo lắng về quản lý danh tính, quyền của người dùng hoặc các cài đặt bảo mật khác.
Đừng quên bảo mật
Tôi đã có cơ hội thảo luận về tác động của các container đối với hoạt động CNTT với Matt Hollcraft, Giám đốc Rủi ro Điện tử cho Maxim Integration, nhà sản xuất các giải pháp mạch tích hợp tín hiệu tương tự và tín hiệu hỗn hợp (IC) có trụ sở tại San Jose, Calif.
Hollcraft giải thích: "Sự xuất hiện của các container có khả năng cho phép tổ chức CNTT phục vụ tổ chức của họ và tránh quá tải đám mây và cơ sở hạ tầng khác". "Họ cho phép bạn cung cấp dịch vụ theo cách trôi chảy hơn", ông nói và thêm rằng họ cho phép một tổ chức mở rộng quy mô nhanh hơn bởi vì, không giống như các máy ảo đầy đủ, các container có thể được quay lên và quay xuống trong vấn đề giây
Điều này có nghĩa là bạn có thể khởi chạy hoặc dừng một phiên bản đầy đủ của khối lượng công việc của dòng doanh nghiệp, như phần mở rộng cơ sở dữ liệu, chẳng hạn, trong một phần nhỏ thời gian cần thiết để kích hoạt máy chủ ảo đầy đủ. Điều này có nghĩa là thời gian đáp ứng của CNTT đối với việc thay đổi nhu cầu kinh doanh sẽ thấy sự cải thiện rõ rệt, đặc biệt là vì bạn sẽ có thể cung cấp các thùng chứa đó bằng hình ảnh hệ điều hành tiêu chuẩn đã được cấu hình sẵn và tùy chỉnh.
Tuy nhiên, Hollcraft cảnh báo rằng điều quan trọng là bao gồm bảo mật là một phần tiêu chuẩn của quy trình cấu hình bộ chứa của bạn. Để làm việc, an ninh phải nhanh nhẹn như container. "Thuộc tính chính phải là sự nhanh nhẹn, " Hollcraft nói, bởi vì "nó cần phải tăng cường để bảo vệ một container."
Trợ giúp của bên thứ ba với bảo mật container
Hollcraft cho biết, có một vài công ty khởi nghiệp an ninh mạng đang bắt đầu cung cấp các nền tảng bảo mật nhanh nhẹn cần thiết để sử dụng thành công các container làm công cụ CNTT. Ưu điểm của việc có bảo mật dành riêng cho container là nó cho phép các quản trị viên CNTT kết hợp bảo mật như một phần của quy trình kiến trúc container ban đầu.
Một trong những phần khởi động làm cho bảo mật container hoạt động theo cách này được gọi là Phần mềm bảo mật Aqua và nó cung cấp một sản phẩm mới, được gọi là MicroEnforcer, đặc biệt nhắm vào trường hợp sử dụng container. MicroEnforcer được đưa vào container sớm trong quá trình phát triển hoặc cấu hình. Sau đó, khi container được khởi chạy, bảo mật sẽ khởi chạy cùng với nó. Bởi vì một container không thể được thay đổi sau khi được tải, bảo mật vẫn ở đó.
"Nó cho phép nhân viên an ninh đến và thiết lập bảo mật khi bắt đầu quá trình", Amir Jerbi, người sáng lập và CTO của Phần mềm bảo mật Aqua cho biết. Ông nói rằng nó tạo ra an ninh như một dịch vụ trong container. Bằng cách này, MicroEnforcer cũng có thể nhìn thấy các container khác.
"Bạn có thể nhìn vào một container và xem chính xác những gì container đang làm, những quá trình đang chạy và những gì nó đọc và viết", Jerbi nói. Ông nói thêm rằng MicroEnforcer sau đó có thể gửi cảnh báo khi phát hiện hoạt động trong một container không có ở đó và nó có thể dừng hoạt động của container khi điều đó xảy ra.
Một ví dụ điển hình về loại hoạt động mà MicroEnforcer có thể tìm kiếm có thể là phần mềm độc hại đã được tiêm vào thùng chứa. Một ví dụ tuyệt vời về điều này có thể là một trong những cuộc tấn công dựa trên container mới hơn trong đó một container chạy phần mềm khai thác tiền điện tử được đưa vào hệ thống, nơi nó hút tài nguyên trong khi kiếm tiền cho người khác. MicroEnforcer cũng có thể phát hiện loại hoạt động đó và ngay lập tức kết thúc nó.
Chống phần mềm độc hại là một trong những lợi thế lớn của container vì khả năng hiển thị dễ dàng mà chúng cung cấp cho bên trong. Điều này có nghĩa là việc theo dõi hoạt động của họ tương đối dễ dàng và tương đối dễ dàng để ngăn chặn bất cứ điều gì xấu xảy ra.
Điều đáng chú ý là, trong khi các bộ chứa đã có sẵn như là một yếu tố kiến trúc cho Linux trong một thời gian, chúng cũng có sẵn trong Microsoft Windows. Trên thực tế, Microsoft cung cấp một phiên bản Docker cho Windows và cung cấp hướng dẫn về cách tạo vùng chứa trong Windows Server và Windows 10.
