Tenzij je hebt geleefd onder een rots in de ruimte, u hebt waarschijnlijk gehoord van het woord “containers” wordt veel gebruikt in de laatste paar jaren. Je hebt misschien gehoord verwijzingen naar Docker of Rucola of zelfs management/orchestration oplossingen zoals Puppet of Kubernetes.
Als een opfriscursus, een container is een vorm van lichtgewicht virtualisatie. Een toepassing of proces dat wordt uitgevoerd in een container gebruikt de kernel van het besturingssysteem en de systeembronnen, maar elke container is geïsoleerd van het besturingssysteem en van andere containers, gedraagt zich alsof het draait in een afzonderlijk exemplaar van het besturingssysteem.
Om te voorkomen dat kwaadaardige acties, eventuele externe communicatie van een container-app heeft om te worden bemiddeld door het besturingssysteem, die past strenge regels die het vormen van een veiligheidsgrens.
Door hun modulaire karakter en hoe ze verpakt zijn, kunnen ze gemakkelijk worden geïmplementeerd en gemigreerd.
Een voorbeeld van hoe deze wordt gebruikt in een public cloud, zoals Azure kan een web farm, database-as-a-service, of een big data-applicatie zoals Hadoop. Voor elke huurder (een organisatie met een cloud-abonnement), Azure draait deze virtuele servers en applicaties in hun eigen containers, die worden geïsoleerd van de andere containers voor de veiligheid.
Je zou het misschien niet zien het containervervoer op het werk, maar je eet het als een service als deze containers zijn snel aangebracht.
Als het gaat om datacentra en enterprise-applicaties, containervervoer is de heersende technologie die ervoor zorgt dat applicaties schaal en breng over de verstoring die nodig is om te swingen de balans weg van on-premise infrastructuur in de publieke cloud.
Voor velen van ons kijken naar deze ruimte, containers zijn van het wonder van geneeskunde voor het verhogen van de dichtheid, voor het verstrekken van de economie op een schaal die ons in staat stelt tot het eind van het argument van “Heb ik echt nodig om mijn eigen server apparatuur?” voor eens en voor altijd.
Maar voor iemand die gebruik maakt van een PC met een desktop-BESTURINGSSYSTEEM, zoals Windows-10 Pro, al dat praten van containervervoer kan net zo goed worden geschreven in het Klingon. Toepassing schaal? De Server dichtheid? Wat?
PC-gebruikers zorgen over een aantal dingen. Zij zorgden er voor dat hun bureaublad toepassingen draaien, dat ze kunnen krijgen tot hun gegevens, dat ze een verbinding hebben, en dat hun veiligheid niet in het gedrang.
Helaas, mensen die gebruik maken van Pc ‘ s vaak kiezen voor het gemak over de veiligheid, als voor de keuze gesteld. Een beveiliging mechanisme dat voelt vervelend en beperkend is afgewezen of gewerkt rond in-of uitgeschakeld. Tientallen jaren van onderzoek naar het gedrag van de gebruiker hebben bewezen.
U kunt de beste security-mechanismen in de wereld, maar als je het niet afdwingen van deze mechanismen, kunnen ze net zo goed niet bestaan. En de dingen kunnen lijken prima met security-functies zijn uitgeschakeld of gedegradeerd tot het te laat is.
(Afbeelding: ZDNet)
Microsoft ‘ s lange termijn strategie voor de beveiliging van Windows-apps om te bouwen aan veiligheid in de fundamentele architectuur van de manier waarop deze applicaties draaien op de desktop. En die weg is door middel van containervervoer.
Afhankelijk van hoe u het uitvoeren van toepassingen, worden de verschillende methoden van het containervervoer zal worden gebruikt. Sommige zijn al ingebouwd in de Windows-10 vandaag. Anderen klaar zal zijn in een paar jaar en zal als eerste in Azure.
Dit is In essentie enterprise-grade cloud security technologie die wordt gedestilleerd voor de massa ‘ s, door middel van een trickle-down benadering-in ongeveer dezelfde manier als de AMERIKAANSE ruimtevaart programma werd gebruikt als een manier om onderzoek geavanceerde materialen zoals carbon en Klittenband, die uiteindelijk hun weg naar consumenten producten.
Bij Microsoft, deze containervervoer technologieën hebben een aparte code namen, en als Windows Internals co-auteur Alex Ionescu uitgelegd, zij zijn de ‘edelgassen’ van Windows 10: Helium, Argon, Krypton en Xenon.
Helium of toepassing siloing, bestaat in Windows 10 vandaag als onderdeel van de Makers Update, en in het bijzonder Windows 10 S. Deze technologie zorgt voor legacy-Win32-toepassingen worden overgezet naar de Windows Store, met behulp van de Desktop-Brug (voorheen codenaam Project Centennial) pakket apps.
Applicatie silo ‘ s toestaan legacy Windows-apps te installeren en bijwerken, zoals native Moderne Windows-10 apps. Deze omgezet desktop apps hebben volledige toegang tot de systeembronnen, maar het gebruik van een virtual file system en gevirtualiseerde registervermeldingen, zoals die in verband met de User Account Control (UAC) virtualisatie.
Een Helium-gebaseerde container is niet een veiligheidsgrens in de weg dat een Hyper-V virtuele machine is. Het leven op de top van het bestaande register en het bestandssysteem. Je kunt het zien als de volgende generatie van UAC, maar toegepast op een toepassing, eerder dan op een machine.
De volgende twee technologieën, Argon en Krypton containervervoer, worden vandaag gebruikt in Docker op Windows Server en binnen Azure zelf.
Deze technologieën bestaan niet in de desktop-versies van Windows 10 nog. Een complex geheel van veranderingen die nodig is om de Windows-kernel voor volledige isolatie, omleiding, en virtualisatie. Het potentieel breekt de compatibiliteit van toepassingen, en de apps worden mogelijk opnieuw hoeft te worden opgebouwd om te profiteren van het.
Voor het implementeren van Argon containers, moet u een aangepaste Windows OS-image met extra “lagen” zitten op de top. Het maakt effectief de OS zeer modulair, die brengt veel verbeteringen in termen van hoe makkelijk het is om een patch te installeren en beveiligen van de omgeving.
Nu, het Windows-10 klant-en desktop-applicaties zijn niet geoptimaliseerd voor deze soort van containervervoer, maar lees verder.
De resterende twee technologieën, Krypton en Xenon, het toevoegen van een speciale, ingekorte versie van Hyper-V — aangeduid als een Microvisor — aan de mix, die voorziet in een nieuwe beveiliging scenario aangeduid als Vijandige multi-tenant.
Nu, deze vorm van virtualisatie wordt gebruikt in Azure zelf.
Vijandige multi-tenant (Hyper-V containers) op de desktop, heeft een aantal voordelen. Elke toepassing, in plaats van in een container en het delen van een kernel met andere containers, letterlijk draait het in zijn eigen kleine virtuele machine, of Micro-VM.
Dit is de volledige, enterprise-grade isolatie — containers op de top van virtualisatie.
Een Micro-VM zet de toepassing op een “need-to-know” – basis en alleen de bepalingen uit precies wat het nodig heeft om te functioneren. Bijvoorbeeld, het niet hebben van toegang tot elke bibliotheek op het systeem; alleen degene die het moet uitvoeren.
Dit is vergelijkbaar met de Net Genoeg OS (JeOS) benadering die gebruikt is bij het ontwerpen van de IoT-apparaten en andere efficiënte embedded systemen. Samen met de isolatie, dit vermindert de aanval aanzienlijk.
Het enige product dat gebruik maakt van dit type virtualisatie moment op de markt is Bromium vSentry. Hardware-afhankelijkheden — uw chip moet aan specifieke ondersteuning voor 64-bits virtualisatie functies — en, ja, u moet wijzigingen aan het OS en apps te ondersteunen.
Bromium heeft een speciale versie van Chrome dat het draait om de isolatie, bijvoorbeeld.
In de Herfst Makers Update, wanneer de functie is ingeschakeld op ondersteunde hardware in Windows 10 Enterprise, Microsoft Rand van de browser zal volledig gebruik maken van Krypton met behulp van een functie bekend als Windows Defender Toepassing Guard.
Geen van de andere Windows-toepassingen nog niet, maar ze komen. Verwachten dat deze technologie in een breder gebruik als Kantoor wordt een full-blown de Moderne Windows-10 app.
Xenon gaat een stap verder door het uitvoeren van de gehele besturingssysteem in een virtuele machine door het plaatsen van een Windows-Argon (Docker) container op de top van Hyper-V.
Al deze technologieën, samen genomen, zal uiteindelijk de basis vormen van de volledige Windows-security-toolbox.
In de drie jaar van Windows wordt Dockerized. Welkom in de Matrix. Praat Terug en Laat Me Weten.
Verwante artikelen:
Wat is Docker en waarom is het zo verrekte populair? Hier is hoe Microsoft de ondersteuning van de open-source Docker container model Koppelvenster is ready-to-run container-apps beschikbaar voor Windows 10 Vallen Makers Update test build voegt nieuwe Cortana, de dicteerfunctie, geavanceerde functies