0
Hvordan Lader bragt beholdere mainstream
Her er TL;DR version: beskyt din Dokker tilfælde eller baaaad ting der kunne ske. Meget, meget dårlig ting.
Forståelse Docker
Lad os bakke op en smule. For dem af jer ikke er bekendt med Dokker, her er hvad du behøver at vide. Dokker er som virtuelle maskiner, som i, at du kan dreje en hel flok af miljøer på toppen af den fysiske hardware. Docker, dog, kan være mere effektive end de virtuelle maskiner, fordi hver ny kører miljø ikke kræver simulering af en hel maskine.
Hæng på, at tanke og stick med mig. For en god oversigt over Dokker, så tjek denne ZDNet artiklen af min kammerat Steven J. Vaughan-Nichols.
Docker kører en Dokker motor på toppen af traditionelle hardware. I denne henseende, det er noget, som en VM ‘ s hypervisor. Med en virtuel maskine arkitektur, er de nye virtuelle maskine er en fuld maskine billedet, bare i software. Al den kode, for alt, hvad du kører, er i hvert VM. Så, for eksempel, hvis du kører fire Linux server Fos, du er nødt til fire komplette kopier af Linux, der hver tager server ressourcer til at køre.
Docker bruger motoren (tror hypervisor, selvom det ikke virkelig) og containere. Forskellen med beholdere er, at en container er lys. Det indeholder kun, hvad der er unikt ved dette projekt. Så, for eksempel, hvis du kører fire Apache tilfælde, som beholdere i Dokker, at du bruger en masse mindre RAM, fordi du ikke duplikerer den fulde Linux stak fire gange.
Her er den nederste linje, du har brug for at huske, for nutidens horror story: du kan køre en masse flere beholdere i Dokkeren per server, end du kan køre VMs. Hvor mange? Jeg har sat ud for at gøre en søgning på Nettet for at finde ud af, og jeg fandt en anden artikel af Steven med svaret. Du kan køre fire til seks Docker beholdere til hver traditionel VM eksempel på en given server.
Så lad os sige, at du har fået en server, der kan køre otte Fos. Den samme server kan køre 48 Docker beholdere.
Cybersecurity bekymringer
Nu, her er, hvor tingene bliver alvorlig. Cisco ‘ s 2017 Midyear Cybersecurity Rapport giver en dybdegående kig på tilstanden af cybersecurity. Som man kunne forvente, at der er noget stort i dette dokument. Sammen med de aktuelle tendenser, Cisco ‘ s team ser på nye problemer. Begravet på side 53, kan de lave en omtale af noget af en Cisco-partner, Rapid7, bemærket med Dokker.
Før jeg rasle din verden videre, er det vigtigt at forstå, at Docker er en stor DevOps værktøj. Fordi Docker giver mulighed for let installationer, og disse installationer kan være identiske fra server til server, udviklere ofte spin-op Docker containere som en del af deres udvikle/afprøve/implementere arbejde cyklus.
Med at, her er hvad Rapid7 bemærket.
De fandt, at mere end 1.000 tilfælde af Docker blev “wide open” på internettet. De fleste var i USA, Kina, Frankrig, Tyskland, Nederlandene og afrunding af de fem lande, der huser disse tilfælde.
Billede: Cisco
Hvad der gør denne mere bekymrende er, at 245 tilfælde havde mere end 4 gb RAM, der er afsat til dem. For traditionelle VMs, der kan ikke være urimeligt stort. Men hvis du tænker over, hvor lille en-fodaftryk et stykke af malware tager at gøre nogle ret nedrige ting, du kigger på en enorm mængde af it-ressourcer til rådighed og åbne.
Det er vigtigt at holde dette i perspektiv, selv om. Hackere har været gennemtrængende hjem og desktop-systemer, hvoraf de fleste er udstyret med mere end 4GB RAM. Så hvorfor er det, at disse åbne Dokker tilfælde er så foruroligende?
Første, lad mig være klart, at Cisco og Rapid7 ikke drage disse konklusioner. De har blot rapporteret om muligheden for en sårbarhed. Jeg gør det intellektuelle spring fra en erkendelse af sårbarhed til undersøgelse af konsekvenser.
Hvad dette betyder, og hvorfor det der bekymrer mig
Her er mine to største bekymringer. For det første, Dokker tilfælde er beregnet til at blive data-center-centriske systemer, ikke stationære eller bruger-centriske systemer. Malware har spredt sig hurtigt ved at hoppe fra brugernes systemer i virksomhedernes omgivelser, hvilket er grunden til vi har set sådanne skader fra avancerede vedvarende trusler og andre data center-hjemmehørende invasioner.
Men med Dokker, er hensigten for det meste at leve i datacenteret. Snarere end at skulle til at forhandle eller til at krydse grænsen mellem user space og server plads, så en stor sårbarhed i data center plads kan drastisk reducere uanset lidt friktion er til venstre, holder tilbage malware indtrængning i virksomhedens kerne.
For det andet, lader dig meget små beholdere, som indeholder hele server konfigurationer, til at blive fyret op og henrettet. Hvis du åbne forekomster af Docker er tilgængelige, malware udviklere, der potentielt kan indsætte mere kompleks og kraftfuld systemer til data center. I stedet for bare en rogue proces, malware udviklere kan, i det væsentlige, installere deres eget rack af ondsindede servere lige inde i datacentret.
Så langt, at der er relativt få åbne forekomster. Men da de har potentiale til at tilvejebringe en fast lane direkte inde i beskyttede rum, jeg opfordrer udviklere og IT-ledere til at undersøge og sikre, at alle eksisterende Dokker tilfælde. Sørg for at udvikle en best practice, der forhindrer, “wide open” Dokker tilfælde fra nogensinde at blive indsat.
Du kan følge min dag-til-dag-projekt opdateringer på sociale medier. Sørg for at følge mig på Twitter på @DavidGewirtz, på Facebook på Facebook.com/DavidGewirtz på Instagram på Instagram.com/DavidGewirtz og på YouTube på YouTube.com/DavidGewirtzTV.
0