Es sei denn, Sie haben unter einem Felsen gelebt in den Raum, Sie wahrscheinlich gehört haben, das Wort “Container” verwendet eine Menge in den letzten Jahren. Vielleicht haben Sie gehört, Verweise auf Docker oder Rakete oder auch management/Orchestrierung Lösungen wie Puppet oder Kubernetes.
Als Auffrischung, ein container ist eine form der leichtgewichtige Virtualisierung. Eine Anwendung oder ein Prozess läuft in einem container, verwendet den kernel des Betriebssystems und der system-Ressourcen, aber jeder container ist isoliert vom Betriebssystem und von anderen Behältern verhält, als ob es läuft eine separate Instanz des Betriebssystems.
Um zu verhindern, dass böswillige Handlungen, jegliche Kommunikation nach außen von einer Container-app zu sein, vermittelt durch das Betriebssystem erzwingt strenge Regeln, die Sicherheitsgrenze.
Aufgrund Ihrer modularen Natur und wie Sie verpackt sind, Sie können leicht implementiert und migriert werden.
Ein Beispiel wie dies verwendet wird, in einer public cloud wie Azure könnte eine web-farm, database-as-a-service oder big data-Anwendungen wie Hadoop. Für jeden Mieter (eine Organisation mit einem cloud-Abo), Azure läuft diese virtuellen Server und Anwendungen in Ihrem eigenen Behälter, die isoliert sind von den anderen Containern aus Gründen der Sicherheit.
Sie kann nicht wirklich sehen, die Containerisierung bei der Arbeit, aber Sie konsumieren es als Dienst, wenn die Behälter werden schnell bereitgestellt.
Wenn es um Rechenzentren und enterprise-Anwendungen, Containerisierung ist die vorherrschende Technologie, wird die Skalierung von Applikationen und bringen über die Unterbrechung benötigt, um swing das Gleichgewicht Weg von der lokalen Infrastruktur in die public cloud.
Für viele von uns beobachten diesen Raum, der Behälter sind die Wunder-Medizin für die Erhöhung der Dichte, die für die Erbringung der Wirtschaft in einem Ausmaß, das uns ermöglicht, zu Ende das argument “brauche ich wirklich meine eigenen server-Ausstattung?” ein für alle mal.
Aber für jemanden, der nutzt einen PC mit einem desktop-OS wie Windows 10 Pro, alle, dass die Rede von der Containerisierung kann auch geschrieben werden in Klingonisch. Anwendung skalieren? Server-Dichte? Was?
PC-Nutzer interessieren ein paar Dinge. Sie darauf, dass Ihre desktop-Anwendungen ausführen, können Sie bekommen zu Ihren Daten, dass Sie verbindungen haben und dass Ihre Sicherheit nicht gefährdet ist.
Leider, Leute, die PCs einsetzen, entscheiden sich Häufig für die Bequemlichkeit über die Sicherheit, wenn eine Wahl gegeben. Jeder security-Mechanismus, der fühlt sich als lästig oder einschränkend abgelehnt oder umgangen oder deaktiviert werden. Jahrzehnte der Forschung in das Verhalten der Nutzer haben dies bewiesen.
Sie können die besten security-Mechanismen in der Welt, aber wenn man nicht erzwingen, die Mechanismen, Sie könnte genauso gut gar nicht existieren. Und Dinge, die mag nur fein mit Sicherheits-features deaktiviert oder herabgestuft, bis es zu spät ist.
(Bild: ZDNet)
Microsofts langfristige Strategie zur Sicherung von Windows-apps zu bauen, die Sicherheit in der grundlegenden Architektur, wie diese Anwendungen laufen auf dem desktop. Und diese Möglichkeit ist durch die Containerisierung.
Je nachdem, wie Sie Anwendungen ausführen, die verschiedenen Methoden der Containerisierung verwendet werden. Einige sind bereits in Windows integriert, die heute 10. Andere werden bereit sein, in ein paar Jahren und zeigen sich zunächst in Azure.
Im wesentlichen handelt es sich um enterprise-grade-cloud-security-Technologie wird destilliert für die Massen, durch einen trickle-down-Ansatz-ungefähr die gleiche wie die US-space-Programm wurde als ein Weg, um Forschung fortschrittlichen Materialien wie Kohlefaser und Klettverschluss, die schließlich Ihren Weg in die consumer-Produkte.
Bei Microsoft werden diese Container-Technologien haben unterschiedliche code-Namen, und als Windows-Interna co-Autor Alex Ionescu erklärt, Sie sind die “Edelgase” Windows 10: Helium, Argon, Krypton und Xenon.
Helium, oder die Anwendung, siloing, ist in Windows 10 heute als Teil der Macher-Update, und vor allem Windows 10 S. Diese Technologie ermöglicht es, legacy-Win32-Anwendungen portiert werden, um den Windows-Store, mit dem Desktop-Brücke (früher mit dem Codenamen Projekt Centennial) zum Verpacken von apps.
Informationssilos können ältere Windows-apps zu installieren und zu aktualisieren, wie native Modernen Windows-10-apps. Diese konvertiert desktop-apps haben vollen Zugriff auf system-Ressourcen, aber mit einem virtuellen Dateisystem und virtuelle registry-Einträge wie jene im Zusammenhang mit der User Account Control (UAC) Virtualisierung.
Ein Helium-basierte container ist nicht eine Sicherheitsgrenze in der Weise, dass eine Hyper-V virtuelle Maschine ist. Es lebt von der vorhandenen registry-und Datei-system. Sie können denken, es als die nächste generation der UAC, aber angewendet auf Anwendungsebene eher als eine Maschine.
Die nächsten zwei Technologien, Argon und Krypton Container, die heute verwendet werden, in der Docker auf Windows-Server und innerhalb von Azure selbst.
Diese Technologien existieren nicht in desktop-Versionen von Windows 10 noch. Eine komplexe Reihe von änderungen erforderlich ist, um den Windows-kernel, um eine vollständige isolation, Umleitung und Virtualisierung. Möglicherweise bricht die Anwendungskompatibilität, und die apps können, müssen neu konzipiert, um es auszunutzen.
Bereitstellen Argon-Container, benötigen Sie eine modifizierte base Windows-OS-image mit weiteren “Schichten”, sitzen oben auf. Damit wird die OS stark modularisierte, der bringt viele Verbesserungen in Bezug auf, wie einfach es ist, zu patchen und sichere die Umgebung.
Gerade jetzt, die Windows 10 client-und desktop-Anwendungen nicht optimiert für diese Art der Containerisierung aber Lesen Sie weiter.
Die restlichen zwei Technologien, Krypton und Xenon, fügen Sie eine spezielle, abgespeckte version von Hyper-V — bezeichnet als Microvisor-mix, die ein neues Sicherheits-Szenario bezeichnet als Feindlich Mandantenfähig.
Gerade jetzt, in dieser Art der Virtualisierung wird in Azure selbst.
Feindliche Multi-Tenant – (Hyper-V-Containern), wenn auf dem desktop benutzt, hat eine Reihe von Vorteilen. Jede Anwendung, statt in einem container und teilen sich ein kernel mit anderen Containern, buchstäblich läuft in seiner eigenen kleinen virtuellen Maschine oder Micro-VM.
Diese voll ist, wird der enterprise-Klasse-Isolierung — Behälter auf der Oberseite der Virtualisierung.
Ein Micro-VM setzt die Anwendung auf einer “need-to-know” – basis und nur die Bestimmungen genau, was es braucht, um zu funktionieren. Zum Beispiel, er nicht haben Zugang zu jeder Bibliothek auf das system; nur diejenigen, die es braucht, um laufen.
Dies ist ähnlich wie die Gerade Genug OS (JeOS) Ansatz verwendet, bei der Gestaltung von IoT-Geräte und andere effiziente eingebettete Systeme. Zusammen mit der Isolierung, das verringert den Angriffsvektor deutlich.
Das einzige Produkt, das mit dieser Art der Virtualisierung, die auf dem Markt gerade jetzt ist Bromium vSentry. Es hat hardware-Abhängigkeiten-Ihre chip unterstützen muss bestimmte 64-bit-Virtualisierung Ausstattung-und, ja, Sie müssen änderungen an der OS und apps zu unterstützen.
Bromium hat eine spezielle version von Chrome, dass es läuft, um seiner isolation, zum Beispiel.
Im Herbst Macher Aktualisieren, wenn aktiviert, kann auf unterstützter hardware in Windows 10 Enterprise, Microsoft Edge-browser voll ausnutzen Krypton mit einem feature bekannt als Windows Defender Anwendung zu Bewachen.
Keiner der anderen Windows-Anwendungen noch nicht, aber Sie werden kommen. Zu erwarten, dass diese Technologie in breiter Nutzung als Büro wird zu einer vollwertigen Modernen Windows-10-app.
Xenon geht einen Schritt noch weiter laufen, das gesamte Betriebssystem in einer virtuellen Maschine, indem ein Windows-Argon (Docker) container on top von Hyper-V.
Alle diese Technologien zusammen genommen, schließlich bilden die Grundlage des kompletten Windows-Sicherheits-toolbox.
In drei Jahren, alle von Windows wird Dockerized. Willkommen in der Matrix. Sprechen Sie sich Zurück und Lassen Sie Mich Wissen.
Verwandte Geschichten:
Was ist Docker-und warum ist es so verdammt beliebt? Hier ist, wie Microsoft seine Unterstützung der open-source-Docker-container-Modell Docker macht ready-to-run-container-apps für Windows 10 Fallen Schöpfer Update test build fügt neue Cortana, Diktier -, Edge-Funktionen