0
Come scaricatore di porto portato contenitori mainstream
Ecco il TL;DR versione: proteggere il Mobile istanze o baaaad cose potrebbero accadere. Molto, molto male le cose.
Comprensione Mobile
Torniamo indietro un po’. Per quelli di voi che non hanno familiarità con la finestra Mobile, ecco che cosa avete bisogno di sapere. Docker è come macchine virtuali, che si può girare un sacco di ambienti in cima hardware fisico. Mobile, tuttavia, può essere più efficiente di macchine virtuali, perché ogni nuovo ambiente di esecuzione non richiede la simulazione di un’intera macchina.
Aggrapparsi a quel pensiero e bastone con me. Per una buona visione della finestra Mobile, check out questo articolo di ZDNet il mio amico Steven J. Vaughan-Nichols.
Mobile viene eseguito in una finestra Mobile del motore sulla parte superiore del tradizionale hardware. A questo proposito, è qualcosa di simile a una VM hypervisor. Con una macchina virtuale di architettura, ogni nuova macchina virtuale è una completa immagine di una macchina, solo nel software. Tutto il codice, per tutto quello che avete in esecuzione, è in ogni VM. Così, per esempio, se si sta eseguendo quattro Linux server, macchine virtuali, si sta andando ad avere quattro copie complete di Linux, prendendo le risorse del server per l’esecuzione.
Mobile usa il motore (si pensi hypervisor, anche se non è, in realtà) e contenitori. La differenza con contenitori è che un contenitore, è la luce. Contiene solo ciò che è unico su questo progetto. Così, per esempio, se si sta eseguendo quattro istanze di Apache come contenitori Docker, si sta usando molto meno RAM, perché non duplicare l’intero stack Linux quattro volte.
Ecco la linea di fondo è necessario ricordare che oggi horror story: è possibile eseguire un sacco di più contenitori Docker per server che è possibile eseguire macchine virtuali. Quanti? Bene, ho deciso di fare una ricerca sul Web per scoprire che fuori, e ho trovato un altro articolo di Steven con la risposta. È possibile eseguire i quattro e i sei contenitori Docker per ogni istanza VM su un determinato server.
Quindi diciamo che hai un server in grado di eseguire otto macchine virtuali. Quello stesso server può eseguire 48 Mobile contenitori.
Cybersecurity preoccupazioni
Ora, qui è dove le cose si fanno serie. Cisco 2017 Metà Cybersecurity Rapporto fornisce un’analisi approfondita sullo stato della sicurezza informatica. Come ci si potrebbe aspettare, non c’è niente di abbastanza in quel documento. Insieme con le tendenze attuali, Cisco, una squadra che sembra a problemi emergenti. Sepolto a pagina 53, fanno parlare di qualcosa di un partner Cisco, Rapid7, notato che con la finestra Mobile.
Prima di scuotere la tua mondiale ulteriormente, è importante capire che il Mobile è un grande DevOps strumento. Perché la finestra Mobile consente leggero distribuzioni, e quelle distribuzioni possono essere funzionalmente identici da server a server, gli sviluppatori spesso di spin up Mobile contenitori come parte del loro sviluppo e test di distribuzione/ciclo di lavoro.
Con, ecco cosa Rapid7 notato.
Essi hanno scoperto che più di 1.000 casi di finestra Mobile sono stati “wide open” su internet. La maggior parte erano in NOI, con la Cina, la Francia, la Germania e i paesi Bassi a completare la top five dei paesi che ospitano tali istanze aperte.
Immagine: Cisco
Ciò che rende questo ancora più inquietante è che 245 dei casi erano più di 4GB di RAM allocata. Per le tradizionali macchine virtuali, che non potrebbe essere irragionevolmente enorme. Ma se si pensa a come piccola impronta di un pezzo di malware che prende per fare alcuni piuttosto vile roba, si sta guardando una quantità enorme di calcolo delle risorse disponibili e aperti.
È importante tenere questo in prospettiva, però. Gli hacker sono state penetrante casa e sistemi desktop, la maggior parte delle quali sono dotate di più di 4GB di RAM. Allora perché è che questi aprire la finestra Mobile istanze sono così inquietante?
Innanzitutto, lasciatemi essere chiaro che Cisco e Rapid7 non trarre queste conclusioni. Hanno semplicemente riportato sulla possibilità di una vulnerabilità. Sto facendo l’intellettuale salto dalla consapevolezza della vulnerabilità all’esame di implicazioni.
Che cosa questo significa e perché mi preoccupa
Qui ci sono le mie due più grandi preoccupazioni. Primo, Mobile istanze sono destinati ad essere data center incentrato sui sistemi desktop o user-centric sistemi. Il Malware si è diffusa rapidamente saltando da un utente di sistemi in ambienti aziendali, che è il motivo per cui abbiamo visto i danni da minacce avanzate persistenti e altri dati centro-residente invasioni.
Ma con la finestra Mobile, l’intento è per la maggior parte delle istanze di vivere nel data center. Piuttosto che dover negoziare o attraversare il confine tra spazio utente e spazio sul server, ad una grande vulnerabilità in un data center di spazio può ridurre notevolmente qualunque piccolo attrito è di sinistra, trattenendo la penetrazione di malware in azienda dei core.
Secondo, Mobile permette molto piccoli contenitori che contengono intero configurazioni del server, per essere infornati e trucidati. Se le istanze aperte di finestra Mobile sono disponibili, gli sviluppatori di malware potenzialmente in grado di inserire più complesse e potenti sistemi di data center. Invece di un processo canaglia, malware, gli sviluppatori possono, in sostanza, installare il proprio rack di server malevoli all’interno del data center.
Finora, ci sono relativamente poche le istanze aperte. Ma siccome hanno il potenziale di fornire una corsia preferenziale direttamente all’interno dello spazio protetto, esorto gli sviluppatori e i gestori di indagare e di sicuro tutto l’esistente Mobile istanze. Assicurati di sviluppare una “best practice” che impedisce di “wide open” finestra Mobile istanze da mai stato distribuito.
È possibile seguire il mio giorno per giorno gli aggiornamenti del progetto sui social media. Essere sicuri di follow me on Twitter @DavidGewirtz, su Facebook a Facebook.com/DavidGewirtz su Instagram a Instagram.com/DavidGewirtz e su YouTube YouTube.com/DavidGewirtzTV.
0