A meno che non abbiate vissuto sotto una roccia in ESSO spazio, probabilmente avete sentito la parola “contenitori”, molto utilizzata negli ultimi anni. Forse avete sentito riferimenti a finestra Mobile o Rucola o anche di gestione/orchestrazione soluzioni come Marionette o Kubernetes.
Come un ripasso, un contenitore è una forma di virtualizzazione leggera. Un’applicazione o un processo in esecuzione in un contenitore usa il kernel del sistema operativo e delle risorse di sistema, ma ogni contenitore è isolato dal sistema operativo e da altri contenitori, che si comporta come se fosse in esecuzione in un’istanza separata del sistema operativo.
Per evitare azioni dannose, qualsiasi comunicazione con l’esterno da un containerizzato app deve essere mediato dal sistema operativo, che impone regole rigide che costituiscono un limite di sicurezza.
A causa della loro natura modulare e come essi sono confezionati, possono essere facilmente implementate e la migrazione.
Un esempio di come questo viene utilizzato in un ambiente cloud pubblico come Azure potrebbe essere una web farm, database come un servizio, o una grande applicazione di dati come Hadoop. Per ogni inquilino (un’organizzazione con una nuvola di sottoscrizione), Azure esegue questi server virtuali e applicazioni nei loro contenitori, che sono isolati da altri contenitori per motivi di sicurezza.
Si potrebbe effettivamente vedere la containerizzazione al lavoro, ma si consumano come un servizio quando i contenitori sono rapidamente il provisioning.
Quando si tratta di centri di dati e applicazioni aziendali, containerizzazione è prevalente la tecnologia applicazioni di scala e di portare la perturbazione bisogno di oscillare la bilancia lontano da infrastruttura per il cloud pubblico.
Per molti di noi la visione di questo spazio, i contenitori sono la meraviglia medicina per aumentare la densità, per la fornitura in economia, in una scala che ci permette di terminare l’argomento di “ho veramente bisogno di possedere miei server attrezzatura?” una volta per tutte.
Ma per chi usa un PC con un OS desktop come Windows 10 Pro, tutti a parlare di containerizzazione potrebbe anche essere scritto in Klingon. Scala di applicazione? La densità dei Server? Cosa????
Gli utenti di PC di cura su un paio di cose. A loro importa che le applicazioni desktop di esecuzione, che possono ottenere i loro dati, che sono di connettività, e che la loro sicurezza non sia compromessa.
Purtroppo, le persone che usano il Pc spesso optare per comodità, sicurezza, data una scelta. Qualsiasi meccanismo di sicurezza che si sente il fastidioso o restrittive viene rifiutato o ha lavorato in tutto o disabili. Decenni di ricerche, il comportamento degli utenti, hanno dimostrato questo.
Si può avere il meglio dei meccanismi di sicurezza del mondo, ma se non applicare tali meccanismi, che potrebbe anche non esistere. E le cose potrebbero sembrare molto bene con le caratteristiche di sicurezza disabili o modificato fino a quando è troppo tardi.
(Immagine: ZDNet)
Microsoft strategia a lungo termine per la protezione di Windows apps per costruire la sicurezza nei fondamentali di architettura di tali applicazioni sono in esecuzione sul desktop. E in che modo è attraverso la containerizzazione.
A seconda di come si esegue applicazioni, diversi metodi di containerizzazione verrà utilizzato. Alcuni sono già integrati in Windows 10 di oggi. Gli altri saranno pronti in pochi anni e verrà visualizzata per prima in Azzurro.
In sostanza, questo è di livello enterprise cloud security technology essere distillata per le masse, attraverso un trickle-down — più o meno allo stesso modo in cui il programma spaziale AMERICANO è stato usato come un modo per la ricerca avanzata di materiali come la fibra di carbonio con chiusura in Velcro, che alla fine hanno fatto la loro strada in prodotti di consumo.
A Microsoft, questi containerizzazione tecnologie si sono distinti nomi in codice, e come Windows Internals co-autore Alex Ionescu, spiega, sono “gas nobili” di Windows 10: Elio, Argon, Kripton e Xenon.
Elio, o l’applicazione siloing, esiste in Windows 10, oggi come parte dei Creatori di Aggiornamento, e in particolare di Windows 10 S. Questa tecnologia consente l’eredità di applicazioni Win32 per essere portato su Windows Store, utilizzando il Desktop Ponte (precedentemente con il nome in codice del Progetto Centenario) per il pacchetto di applicazioni.
Applicazione silos consentire legacy app di Windows per l’installazione e l’aggiornamento come native di Windows 10 applicazioni. Questi convertiti in applicazioni desktop di avere pieno accesso alle risorse di sistema, ma utilizzare un file system virtuale e virtuali del registro di sistema non valide, come quelli associati con il Controllo Account Utente (UAC) di virtualizzazione.
Elio base contenitore non è un limite di sicurezza in modo che una macchina virtuale Hyper-V è. Vive di registro e file di sistema. Si può pensare ad esso come la prossima generazione di UAC, ma applicato a un livello di applicazione, piuttosto che una macchina di livello.
I prossimi due tecnologie, Argon e Krypton containerizzazione, sono oggi utilizzate in Mobile su Windows Server e all’interno di Azure.
Queste tecnologie non esistono versioni desktop di Windows 10 di sicurezza. Un complesso insieme di cambiamenti è necessario per il kernel di Windows per consentire il completo isolamento, di reindirizzamento e di virtualizzazione. Potenzialmente si rompe la compatibilità delle applicazioni e le applicazioni possono avere bisogno di essere ri-progettato per prendere vantaggio di esso.
Per distribuire Argon contenitori, avete bisogno di una base modificata immagine del sistema operativo Windows di “strati” seduto sulla parte superiore. Effettivamente rende il sistema operativo estremamente modulare, che porta molti miglioramenti in termini di come sia facile patch e proteggere l’ambiente.
Ora, Windows 10 client desktop e le applicazioni non sono ottimizzate per questo tipo di containerizzazione ma continuate a leggere.
I restanti due tecnologie, Kripton e Xenon, aggiungere un particolare, tagliato giù versione di Hyper-V — di cui all’come Microvisor — per il mix, che fornisce un nuovo scenario di sicurezza di cui all’come Ostile multi-tenant.
Ora, questo tipo di virtualizzazione è in uso in Azure.
Ostile multi-tenant (Hyper-V, contenitori) quando viene utilizzato su desktop, ha un certo numero di vantaggi. Ogni applicazione, invece di essere in un contenitore e la condivisione di un kernel con altri contenitori, letteralmente corre nella sua piccola macchina virtuale, o Micro-VM.
Questo è pieno di classe enterprise isolamento — contenitori sulla cima di virtualizzazione.
Un Micro-VM pone la domanda sulla “necessità di sapere” e solo le disposizioni esattamente ciò di cui ha bisogno per funzionare. Per esempio, non hanno accesso a tutte le biblioteche del sistema; solo quelli che si deve eseguire.
Questo è simile a quello Appena Sufficiente OS (JeOS) approccio utilizzato durante la progettazione di dispositivi IoT e altri efficienti sistemi embedded. Insieme con l’isolamento, questo riduce il vettore di attacco in modo significativo.
L’unico prodotto che utilizza questo tipo di virtualizzazione sul mercato in questo momento è Bromium vSentry. Ha le dipendenze hardware — il chip per il supporto a 64 bit specifico le funzionalità di virtualizzazione-e, sì, avete bisogno di cambiamenti al sistema operativo e le applicazioni che la supportano.
Bromium ha una speciale versione di Chrome che funziona per fornire il suo isolamento, per esempio.
In Autunno i Creatori di Aggiornamento, quando attivata sull’hardware supportato in Windows 10 Enterprise, Microsoft Bordo browser con il vantaggio di Krypton utilizzando una funzionalità nota come Windows Defender Applicazione di Guardia.
Nessuna delle altre applicazioni di Windows, ma stanno arrivando. Aspettiamo di vedere questa tecnologia a un uso più ampio, quando in Ufficio diventa una vera e propria Moderna di Windows 10 app.
Xenon prende questo un passo ancora più in esecuzione il sistema operativo in una macchina virtuale inserendo un Windows Argon (finestra Mobile) contenitore sulla parte superiore di Hyper-V.
Tutte queste tecnologie, considerate complessivamente, alla fine forma la base di un totale di sicurezza di Windows casella degli strumenti.
In tre anni, tutti i programmi di Windows diventa Dockerized. Benvenuti a Matrice. Parlare di nuovo e fammi Sapere.
Storie correlate:
Ciò che è Mobile e perché è così maledettamente popolare? Ecco come Microsoft sostiene l’open source Mobile contenitore Mobile rende pronto per l’esecuzione del contenitore di applicazioni disponibili per Windows 10 Cadere Creatori di Aggiornamento test build aggiunge nuove Cortana, dettatura, Edge dispone di