Om du inte har bott under en sten i DET utrymme, du har förmodligen hört ordet “behållare” som används en hel del de senaste åren. Kanske har du hört talas hänvisningar till Docker eller Raket eller ens management/orkestrering lösningar som Puppet eller Kubernetes.
Som en repetition, en container är en form av lätt virtualisering. Ett program eller en process som körs i en container använder operativsystemets kärna och resurser, men varje behållaren är isolerad från operativsystemet och från andra containrar, beter sig som om det körs i en separat instans av operativsystemet.
För att förhindra att skadliga åtgärder, något utanför meddelande från en behållare app har för att bli förmedlade av operativsystemet, som upprätthåller strikta regler som utgör en säkerhet gränsen.
På grund av deras modulära karaktär och hur de förpackats, de kan lätt användas och migreras.
Ett exempel på hur detta används i ett publikt moln Azure som kan vara en webbgrupp, databas som en tjänst, eller en big data-program som Hadoop. För varje hyresgäst (en organisation med ett moln abonnemang), Azure kör dessa virtuella servrar och applikationer i en egen behållare, som är isolerade från andra behållare av säkerhetsskäl.
Du kan faktiskt inte se den containerization på jobbet, men du konsumerar det som en tjänst när de behållare som snabbt etablerats.
När det kommer till datacenter-och företagsapplikationer, containerization är den rådande teknik som kommer att göra ansökningar och omfattning och medföra störningar som behövs för att svänga balansen bort från lokaler infrastruktur till det publika molnet.
För många av oss att titta på detta utrymme, behållare är konstigt medicin för att öka tätheten, för att ge ekonomi på en skala som gör det möjligt för oss att avsluta diskussionen om “vill jag verkligen behöver en egen server utrustning?” en gång för alla.
Men att någon som använder en PC som kör ett desktop OS som Windows 10 Pro, alla som talar om containerization kan lika väl vara skriven i Klingonska. Ansökan skala? Server densitet? Vad?
PC-användare bryr sig om ett par saker. De bryr sig om att deras stationära applikationer som körs, så att de kan komma till deras uppgifter, att de har en anslutning, och att deras säkerhet inte får äventyras.
Tyvärr, människor som använder Datorer ofta väljer bekvämlighet över säkerhet, när det ges ett val. Någon säkerhet mekanism som känns irriterande eller restriktiva avvisas eller arbetat runt eller funktionshindrade. Årtionden av forskning i användarnas beteende har visat detta.
Du kan ha den bästa säkerheten mekanismer i världen, men om du inte verkställa dessa mekanismer, de kan liksom inte ens existerar. Och saker och ting kan verka bra med säkerhet har inaktiverat eller nedgraderas tills det är för sent.
(Bild: ZDNet)
Microsoft: s långsiktiga strategi för att säkra Windows-program är att bygga säkerhet i den grundläggande strukturen för hur dessa applikationer att köras på skrivbordet. Och det sättet är genom containerization.
Beroende på hur du kör applikationer, olika metoder för containerization kommer att användas. Vissa är redan inbyggda i Windows-10 idag. Andra kommer att vara klar i ett par år och kommer dyka upp först i Azure.
I huvudsak är detta en enterprise-klass cloud security teknik som destilleras för massorna, genom en trickle-down-metod — på ungefär samma sätt, den AMERIKANSKA rymdprogrammet användes som ett sätt att forskning avancerade material som kolfiber och Kardborrband, som så småningom gjorde sig i konsumentprodukter.
På Microsoft, dessa containerization teknik har olika kod namn, och som Windows Interna co-author Alex Ionescu förklarar, att de är de “ädla gaser” i Windows-10: Helium, Argon, Krypton och Xenon.
Helium eller ansökan siloing, finns i Windows 10 idag som en del av Skaparna Uppdatering, och framför allt Windows 10 S. Denna teknik gör det möjligt för äldre Win32-program ska flyttas till Windows Store, med hjälp av Skrivbordet Bridge (tidigare kodnamnet Projekt Centennial) att paketera appar.
Ansökan silos göra det möjligt för befintliga Windows-program att installera och uppdatera som infödda Moderna Windows-10 appar. Dessa omvandlas apps-skrivbordet har full tillgång till systemet resurser, men använd ett virtuellt filsystem och virtualiserade registerposter som de i samband med Kontroll av användarkonto (UAC) virtualisering.
En Helium-baserade behållaren är inte en säkerhet gränsen på samma sätt som en Hyper-V virtuella maskiner. Den lever på toppen av det befintliga registret och filsystemet. Du kan tänka på det som nästa generation av UAC, men tillämpas på en ansökan nivå snarare än en maskin nivå.
Nästa två tekniker, Argon och Krypton containerization, används idag i Docker på Windows Server och inom Azure själv.
Dessa tekniker som inte finns i stationära versioner av Windows-10 ännu. En komplex uppsättning av förändringar krävs för att Windows kernel att tillåta fullständig isolering, omdirigering och virtualisering. Det potentiellt bryter programkompatibilitet, och apps kan komma att behöva re-utformad för att dra fördel av det.
Att använda Argon och behållare du behöver en modifierad bas Windows OS-bild med extra “lager” som sitter på toppen. Det är ett effektivt sätt gör OS mycket modulär, vilket innebär många förbättringar i termer av hur lätt det är att lappa och säker miljö.
Just nu, Windows 10 klient-och desktop-program är inte optimerad för denna typ av containerization men läs på.
De återstående två tekniker, Krypton och Xenon, lägga till en särskild, nedbantade versionen av Hyper-V — som avses som en Microvisor — till blandning, vilket ger en nya säkerhetspolitiska situationen som avses som Fientliga Multitenant.
Just nu, i denna typ av virtualisering är i användning i Azure själv.
Fientliga Multitenant (Hyper-V behållare) när det används på skrivbordet, har ett antal fördelar. Varje ansökan, istället för att vara i en behållare och att dela en kärna med andra containrar, bokstavligen går i sin egen lilla virtuella maskinen, eller Mikro-VM.
Det här är full, enterprise-klass isolering — behållare på toppen av virtualisering.
Ett Micro-VM sätter programmet på en “need-to-know basis” och endast de bestämmelser reda på exakt vad den behöver för att fungera. Till exempel, det har inte tillgång till alla bibliotek på systemet; endast de som den behöver för att köra.
Detta liknar den Bara Tillräckligt med OS (JeOS) metod som används vid utformningen av IoT-enheter och andra effektiva inbyggda system. Tillsammans med isolering, detta minskar angrepp betydligt.
Den enda produkt som använder denna typ av virtualisering på marknaden just nu är Bromium vSentry. Det har hårdvara beroenden-din chip behov för att stödja specifika 64-bitars virtualisering — och, ja, du behöver förändringar OS och program för att stödja det.
Bromium har en speciell version av Chrome som det går för att ge sin isolering, till exempel.
I Höst Skaparna Uppdatering, när den är aktiverad på maskinvara som stöds i Windows 10 Företag, Microsoft Kanten webbläsaren kommer att ta full fördel av Krypton som använder en funktion som kallas Windows Defender Ansökan Vakt.
Ingen av de andra Windows-program inte ännu, men de kommer. Räkna med att se denna teknik i större utsträckning använda när Kontoret blir en fullt utvecklad Moderna Windows-10-app.
Xenon tar detta ett steg ytterligare genom att köra hela operativsystem i en virtuell maskin genom att placera en Windows-Argon (Docker) behållare på toppen av Hyper-V.
Alla dessa tekniker tillsammans, kommer så småningom att utgöra grunden för den kompletta Windows security verktygslåda.
I tre år, alla Fönster blir Dockerized. Välkommen till Matrix. Prata Tillbaka och Låt Mig Veta.
Relaterade artiklar:
Vad är Docker och varför är det så jäkla populär? Här är hur Microsoft stöder open-source Docker container modell Docker gör dig redo-att-köra behållare apps tillgängliga Windows-10 Faller Skaparna Uppdatering test bygga lägger till nya Boken, diktering, Edge funktioner