Medmindre du har levet under en sten i DET rum, du har sikkert hørt ordet “beholdere”, der anvendes meget i de sidste mange år. Måske har du hørt henvisninger til Docker eller Raket eller endda ledelse/organisering løsninger som Marionet eller Kubernetes.
Som et genopfriskningskursus, en container er en form for let virtualisering. Et program eller en proces, der kører i en beholder, der bruger operativsystemets kerne og system ressourcer, men hver container er isoleret fra operativsystemet og fra andre beholdere, der opfører sig, som om det kører i et separat forekomst af operativsystemet.
For at forhindre ondsindede handlinger, uden meddelelse fra en container-app, har til at være formidlet af operativsystemet, der håndhæver strenge regler, der udgør en sikkerheds-grænse.
På grund af deres modulære natur, og hvordan de er pakket, de kan nemt sættes ind-og udvandrede.
Et eksempel på hvordan dette kan bruges i en offentlig sky som Azure kan være en web-gård, database, som en service eller en “big data” program som Hadoop. For hver lejer (en organisation med en cloud-abonnement), Azure kører disse virtuelle servere og apps i deres egne containere, som er isoleret fra andre beholdere af sikkerhedsmæssige årsager.
Du kan faktisk ikke se containerization på arbejde, men du indtager det som en service, når disse beholdere er hurtigt klargjort.
Når det kommer til datacentre og enterprise-applikationer, containerization er den fremherskende teknologi, der vil gøre applikationer skala og bringe om afbrydelsen er nødvendig for at svinge balance væk fra on-premises infrastruktur til den offentlige sky.
For mange af os ser dette rum, containere, der er spekulerer på, medicin for stigende tæthed, for at levere den økonomi på en skala, der gør os i stand til at afslutte diskussionen af “har jeg virkelig nødt til at eje min egen server udstyr?” en gang for alle.
Men til en person, der bruger en PC, der kører et desktop OS som Windows 10 Pro, som alle, der taler for containerization kan lige så godt være skrevet i Java. Ansøgning skala? Server tæthed? Hvad?
PC-brugere om et par ting. De bekymrer sig for, at deres desktop applikationer køre, for at de kan komme til deres data, som de har oprettet forbindelse, og at deres sikkerhed ikke kommer i fare.
Desværre folk, der bruger Pc ‘ er ofte vælger bekvemmelighed over sikkerhed, når det gives et valg. Nogen sikkerhed mekanisme, der føles irriterende eller restriktiv, afvist eller har arbejdet i eller deaktiveret. Årtiers forskning i brugeradfærd har bevist dette.
Du kan have den bedste sikkerhed mekanismer i verden, men hvis du ikke håndhæve disse mekanismer, kan de lige så godt ikke engang eksisterer. Og ting kan virke fint med sikkerhed funktioner deaktiveret eller nedgraderet, indtil det er for sent.
(Billede: ZDNet)
Microsoft ‘ s langsigtede strategi til sikring af Windows-apps er at skabe sikkerhed i den grundlæggende arkitektur for, hvordan disse programmer kører på skrivebordet. Og på den måde er gennem containerization.
Afhængigt af hvordan du kører programmer, forskellige metoder til containerization vil blive brugt. Nogle er allerede indbygget i Windows-10 i dag. Andre vil være klar i løbet af et par år, og den vil dukke op først i Azure.
I det væsentlige, det er enterprise-klasse cloud sikkerhed teknologi, der er destilleret for masserne, gennem en trickle-down-tilgang-på nogenlunde samme måde, som det AMERIKANSKE rumprogram blev brugt som en måde at forskning avancerede materialer som kulfiber og Velcro, som i sidste ende har gjort deres vej ind i forbruger produkter.
Hos Microsoft, disse containerization teknologier har forskellig kode navne, og som Windows Interne co-forfatter Alex Ionescu forklarer, at de er de ‘ædle gasser” af Windows-10: Helium, Argon, Krypton og Xenon.
Helium eller anvendelse siloing, findes i Windows 10 i dag som en del af Skaberne Opdatering, og især Windows-10 S. Denne teknologi gør det muligt for ældre Win32 applikationer til at blive porteret til Windows Store, ved hjælp af Desktop-Bro (tidligere kendt under kodenavnet Project Centennial) til at pakke apps.
Ansøgning siloer tillade legacy Windows-programmer at installere og opdatere som native Moderne Windows-10 apps. Disse konverterede desktop apps har fuld adgang til systemets ressourcer, men bruger et virtuelt filsystem og virtualiserede poster i registreringsdatabasen, som dem, der er forbundet med Kontrol af brugerkonti (UAC) virtualisering.
En Helium-baseret beholderen er ikke en sikkerhed grænse på den måde, at et Hyper-V virtuelle maskine er. Det liv på toppen af den eksisterende registreringsdatabasen og filer i systemet. Du kan tænke på det, som den næste generation af UAC, men anvendes på en ansøgning niveau, snarere end en maskine niveau.
De næste to teknologier, Argon og Krypton containerization, anvendes i dag i Dokkeren på Windows Server og inden Azure selv.
Disse teknologier ikke findes i desktop-versioner af Windows-10 endnu. Et komplekst sæt af ændringer, der er nødvendige for at Windows-kernen til at tillade fuld isolation, omdirigering, og virtualisering. Det potentielt pauser ansøgning kompatibilitet, og apps kan være nødvendigt at re-architected til at drage fordel af det.
At implementere Argon beholdere, du har brug for en modificeret base Windows OS image med ekstra “lag”, der sidder på toppen. Det reelt gør OS stærkt modulopbygget, der bringer mange forbedringer i forhold til, hvor nemt det er at lappe og sikkert miljø.
Lige nu, Windows-10-klient-og desktop-applikationer er ikke optimeret til denne type af containerization men læs videre.
De resterende to teknologier, Krypton og Xenon, tilføje en særlig, trimmet-down version af Hyper-V, — nævnt som en Microvisor — til den blanding, der giver en ny sikkerheds-scenario, der henvises til som Fjendtlige multi-tenancy.
Lige nu, denne form for virtualisering er i brug i Azure selv.
Fjendtlige multi-tenancy (Hyper-V containere), når de anvendes på skrivebordet, har en række fordele. Hver enkelt ansøgning, i stedet for at være i en beholder, og deler en kerne med andre beholdere, som bogstaveligt talt kører i sin egen lille virtuelle maskine, eller et Mikro-VM.
Denne er fuld, enterprise-klasse isolation — beholdere på toppen af virtualisering.
En Mikro-VM sætter programmet på en “need-to-know” – basis, og kun de bestemmelser, der ud af præcis, hvad den har brug for til at fungere. For eksempel, den har ikke adgang til ethvert bibliotek på systemet, og det er kun dem, der skal køre.
Dette svarer til Lige Nok OS (JeOS) – metode, der anvendes, når designe enheder, tingenes internet og andre effektive indlejrede systemer. Sammen med den isolation, dette reducerer angreb betydeligt.
Det eneste produkt, der anvender denne type af virtualisering på markedet lige nu, er Bromium vSentry. Det har hardware-afhængigheder — din chip behov for at støtte specifikke 64-bit virtualisering funktioner — og, ja, du har brug for ændringer af OS og apps til at støtte det.
Bromium har en særlig version af Chrome, at det kører for at give sin isolation, for eksempel.
I Efteråret Skabere Opdatere, når det er aktiveret på understøttet hardware i Windows 10 Virksomhed, Microsoft Kant browser vil drage fuld fordel af Krypton at bruge en funktion kendt som Windows Defender Program Vagt.
Ingen af de andre Windows-programmer gør endnu, men de kommer. Forventer at se denne teknologi i bredere anvendelse, når Office bliver til en fuld-blæst Moderne Windows-10-app ‘ en.
Xenon tager det et skridt endnu længere ved at køre hele styresystemet i en virtuel maskine ved at placere en Windows Argon (Docker) beholder på toppen af Hyper-V.
Alle disse teknologier, der er truffet sammen, vil i sidste ende danne grundlag for den komplette Windows sikkerhed værktøjskasse.
I tre år, alle Vinduer bliver Dockerized. Velkommen til the Matrix. Snak frem og Lad Mig det Vide.
Relaterede historier:
Hvad er Docker og hvorfor er det så pokkers populær? Her er hvordan Microsoft støtter open source-Docker container model Docker gør klar til at køre beholderen apps til rådighed Windows 10 Falder Skabere Opdatering test build tilføjer nye Cortana, diktat, Kant funktioner