На пути в Облако 2.0: пять ключевых тенденций для безопасности контейнеров

Автор: Владимир Бахур

Контейнерные технологии позволяют создавать и разворачивать приложения на нужной бизнесу скорости, по максимуму использовать облачные среды. Активное внедрение таких технологий сопровождается проблемами роста в части безопасности. Аналитики выделили пять ключевых тенденций, которые обеспечат безопасность контейнеров в будущем.

Рынок сегодня

Контейнерные технологии стремительно набирают популярность. По данным отраслевого отчета 2019 Container Adoption Survey, составленного компаниями Portworx и Aqua Security, использование контейнеров в корпоративных средах за 2018 год более чем удвоилось. По мере развития экосистемы вокруг основных платформ оркестрации процесс только ускоряется. Согласно данным опроса, более 87% респондентов заявили о запуске контейнерных технологий, хотя в 2017 году таковых было лишь 55%. Среди респондентов, которые уже работают с контейнерами, почти 90% используют их на практике, хотя в 2018 году их было 84%, и только 67% в 2017 году.


Контейнерная технология (контейнеризация) представляет собой способ программной виртуализации, которая обеспечивает одновременную поддержку нескольких изолированных рабочих пользовательских пространств (контейнеров) на уровне ядра операционной системы. Со стороны пользователя контейнеры воспринимаются как отдельные автономные копии операционной системы. Благодаря полной изоляции контейнеров друг от друга на уровне ядра ОС, приложения в разных контейнерах не взаимодействуют и никак не влияют друг на друга.

Ряд контейнерных технологий (Solaris Containers, Virtuozzo, OpenVZ) ориентирован на виртуальный запуск почти полноценных копий операционных систем, в то время как некоторые другие технологии (jail, Docker) акцентируются на возможности запуска максимально изолированных приложений и сервисов в минимальном окружении ОС.

Ключевым преимуществом контейнеров для эмуляции виртуального оборудования и запуска полноценной копии ОС является отсутствие дополнительных затрат на аппаратные ресурсы, которые характерны для технологий аппаратной виртуализации. Контейнеры позволяют запускать гостевые ОС, но делают это гораздо быстрее чем при виртуализации, с меньшими расходами и без хранения больших файлов на диске.

Тенденция роста популярности контейнеров сопровождается соответствующим ростом корпоративных инвестиций. Так, 24% участников опроса сообщили, что инвестируют в контейнерные технологии более полумиллиона долларов в год. Примерно 17% респондентов тратили более миллиона долларов в год по сравнению с менее чем 10% в 2017 году.

Прошло более пяти лет с момента запуска Kubernetes — открытой программной технологии для автоматического развертывания, масштабирования и управления приложениями в контейнерах. И сегодня отчетливо видно, что «контейнерная революция» началась благодаря Docker, но именно запуск Kubernetes позволил ускорить процесс внедрения этих решений.

Доминирование Kubernetes в качестве выбора для оркестрации контейнеров фактически привело к стандартизации, появлению более простых решений верхнего уровня для хранения и безопасности, снижению проблем с привязкой к определенным поставщикам в качестве одного из препятствий на пути внедрения.

«Взросление» контейнеров меняет характер их проблем

По мере становления и роста популярности контейнеров меняется ландшафт проблем, связанных с их внедрением. Еще в 2017 году основным вопросом при внедрении контейнеров было постоянное хранение (Persistent Storage). В 2019 году этот вопрос не входит даже в тройку ключевых проблем и располагается на восьмом месте.

Сегодня список проблем при внедрении контейнеров возглавляет безопасность (51%), управление данными (40%) и взаимодействие как между ЦОДами, так и в мультиоблачной среде (36%). По мнению аналитиков, по мере развития рынков облачных хранилищ и контейнеров проблемы более высокого уровня, главным образом связанные с управлением данными, заменяют собой проблемы более низкого уровня — в области постоянного хранения данных.

Основные сложности, возникавшие при внедрении контейнеров
Источник: Portwox

Список проблем с хранением данных в контейнерах на 2019 год включает безопасность данных (56%), опасения по поводу потери данных (46%), а также планирование бесперебойной работы и аварийного восстановления (40%).



Ключевые проблемы хранения при внедрении контейнеров
Источник: Portwox

Снижение числа пользователей, которые сообщают о проблемах с постоянным хранилищем, вполне предсказуемо. Особенно с учетом внушительных инвестиций экосистемы Kubernetes в технологии хранения, например в CSI (Container Storage Interface). Безопасность данных, аварийное восстановление и операции в нескольких облаках — все это по-прежнему важные компоненты, указанные респондентами.



Ключевые проблемы безопасности при работе с контейнерами
Источник: Portwox

Согласно данным опроса, сегодня у пользователей больше вопросов о безопасности контейнеров, чем ответов. Респонденты отмечают растущую сложность приложений, развернутых в контейнерах, по сравнению с предыдущими годами, а также перманентную неясность с организацией общей безопасности ИТ-инфраструктуры предприятия.

Безопасность контейнеров: пятерка перспективных трендов

По мере распространения контейнерных технологий, необходимость защиты контейнеров на протяжении всего жизненного цикла приложения будет только возрастать, считает Фэй Хуан (Fei Huang), генеральный директор компании NeuVector, которая специализируется на безопасности контейнерных технологий. Он выделил пять ключевых тенденций, которые больше всего влияют на безопасность контейнеров сегодня и будут влиять в ближайшем будущем.

1. Рост числа атак против контейнерных инфраструктур

Наряду с ростом развертывания контейнеров увеличиваются масштабы атак на связанные с ними инфраструктуры. Для этих целей злоумышленники все чаще применяют критические уязвимости Kubernetes.

Заголовки о подобных происшествиях появляются регулярно. Например, исследователи из компании RedLock, специализирующейся на мониторинге и защите облачных решений, сообщили о взломе контейнерной структуры Kubernetes производителя электромобилей Tesla. Зараженная инфраструктура, которая была развернута в общедоступном хранилище Docker Hub облачной среды Amazon Web Services, впоследствии использовалась злоумышленниками для майнинга криптовалют.

Как показало расследование, проведенное специалистами Tesla, утечка конфиденциальных данных компании была минимальной, однако сам по себе инцидент подчеркивает, как недостаточное шифрование может стать серьезной угрозой безопасности компании. Не говоря уже об огромном счете за электричество.

Риск взлома — предсказуемый побочный эффект успеха. Со временем такие атаки становятся все более распространенными и запутанными. Это говорит о том, что безопасности следует уделять гораздо больше внимания — как специалистам компаний, так и командам разработчиков.

2. «Политика как код» становится реальностью

Ряд контейнерных инструментов, таких как Kubernetes ConfigMaps и Custom Resource Definitions (CRD), позволяют автоматизировать безопасность приложений, конфигураций и собственно правила безопасности в конвейере непрерывной интеграции и доставки (CI/CD) и разработки. Команды разработчиков могут анализировать поведенческие факторы приложений и настраивать актуальные политики безопасности для любых новых развертываний рабочих процессов в стандартных файлах YAML. Именно такой подход делает процесс интеграции безопасности эффективным и автоматизированным.

Сотрудники служб «традиционной» безопасности также могут внедрять глобальные политики безопасности с использованием аналогичных инструментов. Такой подход позволит им модернизировать традиционные методы обеспечения безопасности для соответствия облачному статусу инфраструктуры.

3. «Сеть безопасности над сетью сервисов» как стратегия защиты

Надстройка сети безопасности поверх архитектуры сервисной сети в качестве одного из способов обеспечения защиты приложений становится заметной индустриальной тенденцией. Такой подход необходим, как минимум, для предотвращения потенциальных хакерских атак.
В последнее время киберпреступники демонстрируют беспрецедентные ухищрения в попытках взлома и проникновения в решения по оркестрации контейнеров. Зачастую они без труда обходят традиционные методы обеспечения безопасности, что порождает потребность в столь же продвинутых мерах защиты.

В случае с Kubernetes и эксплойтами API контейнеров необходимы мгновенные и полностью автоматизированные интеллектуальные средства защиты и реагирования на внешние угрозы.

4. Защита слева и справа

По мере накопления практического опыта в вопросах внедрения контейнерных технологий, корпоративные ИТ-специалисты начинают более реалистично оценивать опасность внедрения мер безопасности контейнеров на самих этапах разработки приложений.

Решение ряда вопросов безопасности, таких как защита от атак нулевого дня, эксплойты уязвимостей и даже атаки изнутри, можно изначально «сдвинуть влево», позаботившись о безопасности приложения еще на начальном этапе его разработки.

Поскольку предприятия все чаще используют контейнеры в производственных средах, безопасность также «смещается вправо», чтобы лучше обеспечивать безопасность контейнеров и платформы оркестровки на протяжении всего жизненного цикла сборки-отгрузки.

Аналогично в процессе эксплуатации контейнерных технологий предприятия накапливают опыт их использования в различных жизненных ситуациях. Здесь безопасность также «смещается вправо», чтобы гарантированно обеспечить максимальную безопасность контейнеров и платформ оркестрации на протяжении всего жизненного цикла.

5. Контейнеры как инструмент и дорога в Облако 2.0

Корпоративная стратегия по переходу на использование новейших «горячих» технологий, таких как контейнеризация, бессерверные вычисления, сервисные и защитные сети, гипермасштабирование и межкластерное управление, определяют будущее облачных инфраструктур компаний, которые не должны быть ВМ-ориентированными.

Взамен предприятия получают гораздо более управляемые услуги и более удобную работу с данными. Компании, которые уже занимаются переходом к так называемому «Облаку 2.0» (Cloud 2.0), используют различные возможности для внедрения облачных функций — от нативной облачной безопасности до облачных сетей, хранилищ данных и т.д. Как показывает практика, такой подход обеспечивает бизнесу более быстрое и динамичное удовлетворение его ключевых потребностей.

Перспективы рынка контейнеров

Согласно прогнозу Global Containers as a Service Market от аналитической компании Market Research, глобальный рынок контейнерных решений в качестве сервиса вырастет по итогам 2023 года до $5,56 млрд. Среднегодовой прирост этого сектора составит примерно 34% на ближайшие пять лет. Ключевыми игроками на рынке сервисных контейнерных решений будут компании Apcera, AWS, Cisco Systems, Docker, Google, IBM, Joyent, Microsoft, Rancher Labs, Red Hat, Suse и Vmware.

Рост рынка контейнеров, по мнению аналитиков, обусловлен спросом предприятий на эффективное управление корпоративной инфраструктурой и ускорением цифровой трансформации. Интерес к использованию контейнеров в таких областях как менеджмент, оркестрация, мониторинг, разработка приложений, безопасность, сетевое взаимодействие и хранение, проявляют и стартапы и гиганты в области разработки ПО. Это свидетельствует о широком диапазоне технологических возможностей и открывает новые перспективы для развития рынка.
Открытость рынка контейнерных приложений является стимулом для выхода на него множества новых компаний. В свою очередь, рост числа игроков непременно будет стимулировать дальнейший рост контейнерного рынка.