0
Hoe Docker gebracht containers mainstream
Hier is de TL;DR versie: bescherm uw Docker gevallen of baaaad dingen konden gebeuren. Zeer, zeer slechte dingen.
Het Begrijpen Van De Docker
Laten we weer een beetje. Voor hen die niet bekend zijn met Docker, hier is wat u moet weten. De Docker is als virtuele machines die je kunt draaien tot een hele hoop van de omgeving op de top van de fysieke hardware. Docker, echter, kan het efficiënter zijn dan virtuele machines, omdat elke nieuwe running milieu niet vereist de simulatie van de gehele machine.
Hang op die gedachte en blijf bij mij. Voor een goed overzicht van de Docker, check out deze ZDNet een artikel van mijn vriend Steven J. Vaughan-Nichols.
Docker loopt een Docker motor op de top van de traditionele hardware. In dit verband is het iets als een VM ‘ s hypervisor. Met een virtuele machine architectuur, elke nieuwe virtuele machine is een volledige machine beeld in de software. Alle code, voor alles wat je uitvoert, is in elke VM. Dus, bijvoorbeeld, als je vier Linux server, VMs, je gaat te hebben van vier complete kopieën van Linux met resources van de server uit te voeren.
Docker maakt gebruik van de motor (denk hypervisor, ook al is het niet echt) en containers. Het verschil met containers is dat een container is licht. Het bevat alleen wat is er uniek aan het project. Dus, bijvoorbeeld, als je vier Apache gevallen als containers in Docker, gebruik je veel minder RAM-geheugen, omdat je het niet bij het dupliceren van de volledige Linux stapel vier keer.
Hier is de onderste regel die je moet onthouden voor de hedendaagse horror verhaal: je kunt veel meer containers in het Koppelvenster per server, dan kunt u het uitvoeren van vm ‘ s. Hoeveel? Nou, ik zoeken op internet om die te vinden, en ik vond nog een artikel door Steven met het antwoord. Je kunt uitvoeren in vier tot zes Docker containers voor elke traditionele VM bijvoorbeeld op een bepaalde server.
Dus laten we zeggen je hebt een server die acht VMs. Dat dezelfde server kan draaien 48 Docker containers.
Cybersecurity betreft
Nu, hier is waar de dingen serieus. Cisco ‘ s in 2017 het midden van het jaar Cybersecurity Rapport biedt een grondige kijk naar de staat van cybersecurity. Zoals je zou verwachten, er is niets vrij in dat document. Samen met de lopende trends, Cisco ‘ s team kijkt naar de opkomende problemen. Begraven op pagina 53, ze maken een vermelding van iets wat een Cisco-partner, Rapid7, gemerkt met Docker.
Voordat ik rammelen uw wereld verder, het is belangrijk om te begrijpen dat de Docker is een grote DevOps tool. Omdat Docker zorgt voor lichtgewicht implementaties, en deze implementaties kunnen worden functioneel identiek van server naar server, ontwikkelaars vaak spin up Docker containers als onderdeel van hun ontwikkeling/testen/implementeren van de werkcyclus.
Met dat, hier is wat Rapid7 gemerkt.
Zij vonden dat meer dan 1.000 exemplaren van de Dokwerker werden “wide open” op het internet. De meeste waren in de VS, China, Frankrijk, Duitsland en Nederland afronding van de top vijf van landen die deze open gevallen.
Afbeelding: Cisco
Wat maakt deze zorgwekkender is dat 245 van de gevallen had meer dan 4GB RAM toegewezen. Voor traditionele vm ‘ s, die misschien niet onredelijk groot. Maar als je denkt over hoe een kleine voetafdruk een stuk van malware neemt om te doen wat mooie lafhartige spullen, je bent een enorme hoeveelheid computing resource beschikbaar is en open.
Het is belangrijk om dit in perspectief, dat wel. Hackers zijn doordringende huis en desktop systemen, de meeste zijn uitgerust met meer dan 4GB RAM. Dus waarom is het dat deze open Docker exemplaren zijn zo verontrustend?
Ten eerste, laat mij duidelijk dat Cisco en Rapid7 niet trekken van deze conclusies. Ze hebben gewoon gemeld op de mogelijkheid van een kwetsbaarheid. Ik ben het maken van de intellectuele sprong van bewustzijn van de kwetsbaarheid voor onderzoek van de implicaties.
Wat dit betekent en waarom het baart me zorgen
Hier zijn mijn twee grootste bezwaren. Eerste, Koppelvenster exemplaren zijn bedoeld voor data center-centric systems, niet bureaublad-of user-centric systems. Malware heeft verspreid zich snel door te springen van de systemen van gebruikers in corporate omgevingen, dat is waarom we hebben gezien deze schade van geavanceerde aanhoudende bedreigingen en andere data center-resident invasies.
Maar met Docker, de bedoeling is dat de meeste exemplaren leven in het datacenter. Liever dan te onderhandelen over of langs de grens tussen gebruiker de ruimte en de ruimte op de server, zoals een groot beveiligingslek in datacenter ruimte kan sterk verminderen wat weinig wrijving is links, het tegenhouden van malware penetratie in de corporate kern.
Ten tweede, Dokwerker staat zeer kleine containers, waarin voor een hele server configuraties, te worden gestart en uitgevoerd. Als open exemplaren van de Docker beschikbaar zijn, malware ontwikkelaars kunnen mogelijk plaats meer complexe en krachtige systemen in het datacenter. In plaats van gewoon een rogue proces, malware ontwikkelaars kunnen, in wezen, het installeren van hun eigen rek van de kwaadaardige servers in het data center.
Tot nu toe zijn er relatief weinig open exemplaren. Maar omdat ze de potentie hebben om een fast lane direct in beschermde ruimte, ik dring er bij ontwikkelaars en IT-managers om te onderzoeken en te beveiligen bestaande Docker exemplaren. Zorg ervoor dat het ontwikkelen van een best practice die voorkomt “wide open” Docker gevallen van ooit wordt ingezet.
U kunt het volgen van mijn dag-tot-dag project updates op sociale media. Volg mij op Twitter via @DavidGewirtz, op Facebook op Facebook.com/DavidGewirtz op Instagram op Instagram.com/DavidGewirtz en op YouTube YouTube.com/DavidGewirtzTV.
0