კონტეინერები ახლა გავრცელებულია IT ინდუსტრიაში. მათი შენახვა მარტ. Aივია და სხვადასხვა უპირატესობების გამო, რომლებიც ხელს უწყობს სწრაფ განვითარებას და განლაგებას, DevOps მომხმარებლები იყენებენ კონტეინერებს განმეორებ. Aითი განახლებების შესაქმნელად. სამწუხაროდ, მიუხედავად იმისა, რომ კონტეინერები პოზიტი. Aური მიზნებისთვის გამოიყენება, მათმა გავრცელებამ მიიპყრო მოღალატე ადამიანების არასასურველი ყურადღება, რომლებიც მზად არიან გამოიყენონ საფრთხეები. ამ ბლოგში ჩვენ განვი. Aხილავთ იმ საფრთხეებს, რომლებიც უნდა იცოდეთ ღრუბელში კონტეინერების გამოყენებისას.
კონტეინერების შესახებ
კონტეინერები არის დამოუკიდებელი რგოლები, რომ. Aლებიც დგანან სრულ, ტრანსპორტირებად აპლიკაციის გარემოში. ისინი მოიცავს ყველა ბი. Aნაარს, ბიბლიოთეკებს, კონფიგურაციის მონაცემებს და გასაშვებად საჭირო პროგრამას. ზოგიერთი სტანდარტული ტექნოლოგიური შეთავაზება, რომელსაც გესმით კონტეინერ. Aების მოხსენიებისას არის Docker , Kubernetes და AWS EKS . თავისი მასიური გლობალური კვალით, AWS-ის კონტეინერიზაციის ტექნოლოგია ფართოდ გამოიყენება.
რამდენიმე კონტეინერს, რომელიც მუშაობს საერთო ინფრ. Aასტრუქტურაზე, შეუძლია გამოიყენოს იგივე ბირთვი ყოველგვარი ცვლილებების გარეშე. მიუხედავად ამისა, ისინი იზოლირებულნი არიან მისგან და აქვთ შეზღუდული ურთიერთქმედება ქვე. Aმოთ მოცემულ ჰოსტინგის რესურსებთან. ღრუბელზე დაფუძნებული კონტეინერების ექსპ. Aლუატაციის ერთ-ერთი მრავალი უპირატესობა არის მომხმარებლებისთვის პროგრამების სწრ. Aაფად დაბრუნების შესაძლებლობა (იფიქრეთ „დაწერეთ ერთხელ, გაუშვით ყველგან“ – უზარმაზარი სიკეთეა იმ ბიზნესებისთვის, რომლებიც მართავენ პანდემიასთან დაკავშირებულ შორეულ კვალს). ისინი ა. Aსევე უზრუნველყოფენ ინფრასტრუქტურის მნიშვნელოვან სა. Aრგებელს, ვიდრე მფლობელობაში მყოფ სერვერებზე ან ვირტუალურ მანქანებზე აპლიკაციების ადმინისტრირებას. ისინი ასევე აძლიერებენ სისწრაფეს DevOps მიზნების წინსვლის გზით.
გარდა ამისა,
კონტეინერების მართვა მარტივია საორკესტრო ი. Aნსტრუმენტების გამო, როგორიცაა Kubernetes . ადმინისტრატორებს შეუძლიათ გამოიყენონ ორკესტრირება კონტეინერზე დაფუძნებული აპლიკაციების ცენტრალიზებული მართვისთვის, ავტ. Aომატური განახლებების გავრცელებისა და ნებისმიერი პრობლემური კონტეინერების იზოლირებისთვის, სხვა საკითხებთან ერთად.
ამ მიზეზების გამო, კონტეინერების გამოყენება სახურავზე მოხვდა. Cloud Native Computing Foundation (CNCF) მიერ ჩატარებული გამოკითხვის თ. Aანახმად, რესპონდენტთა 83% იყენებდა Kubernetes-ს წარმოებაში 2020 წელს, 78%-დან 2019 წელს და მხოლოდ 58% 2018 წელს. კიბერკრიმინალები უფრო მეტად ინტერესდებიან, როცა შვილად აყვანა იზრდება.
ივნისის Red Hat-ის კვლევაში გამოკითხულთა განსაცვიფრებელმა 94%-მა განაცხადა, რომ ჰქონდა Kubernetes-ის უსაფრთხოების პრობლემა წინა 12 თვის განმავლობაში.
უსაფრთხოების საფრთხეები
Akamai-ის უსაფრთხოების მკვლევარმა ლარი კეშდოლარმა ახლახან შექმნა Docker-ის მახე, რათა დაენახა ის ყურადღება, რომელიც შეიძლება მიიპყროს კრიმინალთა უფრო ფართო ქსელის არმიისგან, რათა აჩვენოს, თუ რამდენად პოპულარული გახდა სუსტი ღრუბლოვანი ინფრასტრუქტურის თავდასხმა. შემაშფოთებელია, რომ 24 საათში ოთხმა კრიმინალურმა ოპერაციამ გამოიყენა თაფლი.
Cashdollar-მა შექმნა SSH პროტოკოლი დაშიფვრისთვის და root პაროლი, რომელიც იყო „გამოცნობადი“. მისი თქმით, ის ადე ტელეგრამის მონაცემები კვატურად იყო შენიღბული ისე, რომ არ ჰგავდა თაფლის ქოთანს, რადგან ის იყენებდა ტიპიური ღრუბლის კონტეინერის არქიტექტურას. ამის ნაცვლად, ეს მხოლოდ სუსტი ღრუბლის მაგალითია.
თავდასხმებს სხვადასხვა
მიზანი ჰქონდა: ერთი კამპანია ცდილობდა გა kіраўніцтва па забеспячэнні камерцыйнага крэдыту ў 25 мільёнаў долараў მოეყენებინა კონტეინერი, როგორც პროქსი Twitch-ის ლაივ სტრიმინგებზე ან სხვა სერვისებზე წვდომისთვის, მეორე ცდილობდა ბოტნეტის დაინფიცირებას, მეორემ კრიპტოვალუტის მოპოვება და ბოლო მცდელობა იყო სახლიდან სამუშაოს გაყალბება.
სასარგებლო ბმული: Cloud Computing: ტენდენციები, გამოწვევები და უპირატესობები
კონფიგურაციის ხარვეზები
მიუხედავად იმისა, რომ კონტეინერის ტექნო by lists ლოგიის გატეხვის მრავალი გზა არსებობს, ისევე როგორც ინფრასტრუქტურის სხვა ფორმები, არასწორი კონფიგურაცია პირველ ადგილზეა თავდაპირველი წვდომის ქულების დაფასში. Gartner-ის ახალი ანგარიში პროგნოზირებს, რომ 2025 წლამდე კლიენტის შეცდომები ან არასწორი კონფიგურაცია იქნება ღრუბლოვანი დარღვევის 99 პროცენტზე მეტის მთავარი მიზეზი.
მაგალითად, სურათმა შეიძლება დაიწყოს არასაჭირო დემონი ან სერვისი, რომელიც იძლევა ქსელში არაავტორიზებული წვდომის ნებართვას, ან შეიძლება დაყენებული იყოს მომხმარებლის უფრო მაღალი უფლებებით, ვიდრე საჭიროა. კიდევ ერთი რისკი, რომელიც უნდა იცოდეთ არის სურათებში შეტანილი საიდუმლოებები, როგორიცაა რწმუნებათა სიგელები ან სერთიფიკატები. სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტი (NIST) , აშშ-ს კომერციის დეპარტამენტის განყოფილება, გვირჩევს სურათების მიღებას მხოლოდ სანდო წყაროებიდან, როგორიცაა კერძო კონტეინერების რეესტრებიდან.
თუ რეესტრი სწორად არ არის
დაყენებული, ის შეიძლება გახდეს უსაფრთხოების პოტენციური ხარვეზი. რეესტრის ხელმისაწვდომობა შესაძლებელი უნდა იყოს მხოლოდ დაშიფრული და დამოწმებული კავშირების საშუალებით, იდეალურად, სერთიფიკატების გამოყენებით, რომლებიც უკვე მოქმედი ქსელის უსაფრთხოების ზომებით არის დაკავშირებული. კონტეინერის გამოსახულების უსაფრთხოების ყველა ზომა შეიძლება უსარგებლო იყოს, თუ რეესტრი დაუცველია. ასევე აუცილებელია რეესტრის რეგულარული მოვლა, რათა არ იყოს მოძველებული სურათები დაუცველი ხარვეზებით. მოდით ჩავუღრმავდეთ არასწორ კონფიგურაციას.