תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

אבטחת מידע בקונטיינרים: חמישה דברים שצריך לדעת לפני שמתחילים

תעשיית ההיי-טק עוברת מעבודה עם מכונות וירטואליות לעבודה בקונטיינרים. השיטה החדשה טובה ויעילה יותר אך גם מציבה מספר בעיות שחשוב לדעת עליהן ולהתמודד איתן

נתונים, דאטה
Sdecoret | Dreamstime.com

יותר ויותר ארגונים נוטשים את שיטת העבודה של הרצת תוכנות רבות יחד על אותו Virtual Machines ועוברים לעבודה בקונטיינרים. בשנת 2013 הוציאה חברת Docker את המעטפת שלה לקונטיינרים ופישטה משמעותית את העבודה איתם. מאז, מבינים בתעשיית ההיי-טק שמדובר בפתרון טוב יותר להרצת תוכנות בבידוד ושהגדרת התנאים והמשאבים שמקבלת תוכנה כזאת היא קלה יותר בשיטה החדשה. כמו כן, כלי הניהול שהשיקה גוגל, Kubernetes, הפך את העבודה בקונטיינרים לנפוצה עוד יותר.

כאשר עובדים בקונטיינרים ישנן עובדות שחשוב לדעת ולהכיר, בעיקר כאלו הנוגעות לאבטחת מידע, מקום בו ארגונים פשוט לא יכולים להתפשר. הנה חמישה דברים שחשוב לדעת על עבודה בקונטיינרים:

1. עבודה בקונטיינרים מקלה על אבטחת המערכת

כאשר עובדים עם Virtual Machine, גם כאשר מעוניינים להריץ רק תוכנה אחת - חייבים להריץ מסביבה מערכת שלמה. מערכת ההפעלה, התהליכים שמסביב והתוכנות שברקע. עבודה בקונטיינרים, לעומת זאת, מספקת "ואקום" טוב יותר להרצת התוכנה ובחינתה, מה שמספק אבטחה ברמה גבוהה יותר. זה מתאפשר בזכות שלושה גורמים: מינימליסטיות, דקלרטיביות והעדר היכולת לבצע שינויים (Immutability).

מינימליסטיות: הקונטיינר מאפשר להריץ תוכנה אחת בלבד, המנותקת מהשפעת האקו-סיסטם שסביבה.

דקלרטיביות: כאשר מגדירים קונטיינר במטרה להריץ תוכנה בתוכו, יש להגדיר שורה של פרמטרים הקשורים אליו. למשל: כאשר הקונטיינר מתחיל לפעול, איזו תוכנה הוא מפעיל? אילו קבצים יש להעתיק לתוכו כדי שהיא תעבוד? "להבדיל מפתרונות קלאסיים שתמיד מבוססים על Black List שמגדירה מה אסור לעשות - כאן השיטה היא הפוכה: White List - פרופיל המגדיר את ההתנהגות המותרת", מסביר דימה סטופל, המייסד וראש מחלקת הפיתוח של חברת Twistlock, המציעה חבילת תוכנה כוללת לעבודה בקונטיינרים. "כל מה שלא מוגדר שם - חסום אוטומטית. זה גם בטוח יותר וגם קל יותר לביצוע - כי כמעט ואין צורך לבצע עבודה ידנית".

קונטיינרים
Chuyu | Dreamstime.com

Immutability: ברגע שמתחילים להריץ קונטיינר - לא משנים אותו יותר. בכל פעם שרוצים להריץ משהו שונה - יש צורך לבנות קונטיינר חדש. הפיצ'ר הזה מסייע לאבטחה מכיוון שהוא מאפשר ליצור פרופיל התנהגותי הדוק מאוד מסביב לכל קונטיינר. בפרופיל זה ניתן להגדיר מגוון פרמטרים, כגון: אילו תוכנות ירוצו בו, מהי התנהגות הרשת המצופה, איך התוכנה תדבר עם מערכת ההפעלה המשותפת. כך למשל, שימוש בחבילת התוכנה של Twistlock מאפשר ליצור פרופילים כאלו בצורה קלה ואוטומטית, כאשר התוכנה יודעת לזהות כל שינוי ואנומליה בפרופיל שהוגדר, לחסום התנהגות זו ולהתריע אודותיה.

2. עבודה בקונטיינרים מצריכה שימוש בפיירוול ייעודי

מי שעובר מעבודה ב-VM לעבודה בקונטיינרים מגלה שלא משנה כמה טובה הייתה תוכנת האבטחה בה הוא השתמש - היא פשוט הופכת ללא רלוונטית. "במכונה רגילה יש IP, אתה מקנפג את הפיירוול ומגדיר פורטים שפתוחים לתוכנות כאלו ואחרות. ההגדרות נעות סביב Hosts", מסביר דימה סטופל. "גם כשמריצים קונטיינרים עדיין יש הוסטים אבל התוכנה שמנהלת את הקונטיינרים האלו יכולה להזיז קונטיינר מהוסט להוסט. כך שפתאום יש הפרדה בין ההוסט לאפליקציה - והמשמעות היא שצריך פיירוול שיודע לטפל במצב החדש הזה. זהו פיירוול שעובד ברמת האפליקציה ולא ברמת המכונה. מגדירים בו לעקוב אחר האפליקציה ולוודא שהיא מתנהגת כמו שצריך מבחינת הרשת. חבילת התוכנה לקונטיינרים של Twistlock כוללת פיירוול כזה".

3. קונטיינר לא יודע לעבוד עם אנטי וירוס ועם מנגנון עדכון

לא צריך להיות טכנולוג כדי להכיר את האנטי וירוס, שמותקן על מערכת ההפעלה ושומר עליה מפני מזיקים, או את ההודעות שמבשרות למשתמש שעליו לעדכן את רכיבי התוכנה במערכת ההפעלה, להם יצאה גרסה חדשה הכוללת עדכוני אבטחה. בעולם הקונטיינרים שני הדברים הללו לא קיימים. תוכנת אנטי וירוס לא תדע לעבוד עם קונטיינר ומנגנון עדכון הרכיבים פשוט לא קיים, למרות שאלו מתיישנים מהר מאוד ועדכונים עבורם יוצאים באופן שוטף. כתוצאה מכך יש צורך בפתרון מיוחד לקונטיינרים שיודע להיכנס אליהם ולסרוק את כל הרכיבים הן כבדיקת וירוסים והן כבדיקת עדכון. פתרון מתקדם וחשוב מסוג זה כלול בחבילת התוכנה של Twistlock.

קונטיינרים
Dreamstime.com

4. תאימות לתקנים היא אתגר כאשר עובדים עם קונטיינרים

חברות גדולות ותאגידים חייבות להתאים את מערכות המידע שלהן לשורה של תקנים בינלאומיים שונות. כך למשל, חברות פיננסים חייבות לעמוד בתקן PCI ואילו חברות בריאות, כמו קופות חולים, חייבות לעמוד בתקן HIPAA. באירופה כל חברה שהיא חייבת לעמוד בתקן GDPR. חברה שעברה לעבוד בקונטיינרים תגלה שישנם חוקים רבים שחובה ליישם כדי שעבודה בצורה זו תעמוד בתקן הדרוש. מדובר בתהליך ארוך ומורכב, אלא אם משתמשים בחבילת תוכנה שיודעת להתאים את המערכת לתקן הרלוונטי. "ב-Twistlock אנחנו עוזרים ללקוחותינו לעמוד בתקנים הדרושים להם", אומר דימה סטופל. "כל עניין התאימות מוטמע במערכת התוכנה שלנו. היא יודעת לנתח את מערכת המחשוב ולתת חיווי עד כמה היא עומדת בתאימות. לאחר מכן היא גם בולמת כל ניסיון לשינוי שעלול להפוך את המערכת ללא-תואמת".

System calls .5 יכולות להוות פרצת אבטחה בקונטיינרים

לליבת המכונה, הקרנל, יש פונקציות שפונים אליהן, הקרויות System calls. כל פתיחת משתמש חדש במערכת, למשל, היא כזאת. בקריאות הללו יכולים להיות לעתים באגים שיאפשרו פגיעות בקרנל. בשימוש ב-VM הנזק של פריצה לקרנל הוא מוגבל, מכיוון שאינו משפיע על התוכנות הרצות על המערכת. בקונטיינרים, לעומת זאת, הקרנל ומערכת ההפעלה משותפות לכל הקונטיינרים, ולכן פריצה לקונטיינר אחד משמע פריצה לכל הקונטיינרים שעובדים במקביל על מערכת ההפעלה. מכיוון שהבידוד של הקונטיינרים חלש יותר לעומת ה-VM, נדרש פתרון אבטחה שיודע להתמודד עם המצב הזה, דוגמת חבילת התוכנה של Twistlock. "המערכת שלנו מוודאת שכל System Call שנשלח הוא הגיוני. אם אפליקציה תבצע קריאה שלא מתאים לה לבצע - המערכת מיד תזהה את זה, תתריע ולא תאפשר לקריאה לעבור", אומר דימה סטופל.

בואו לעבוד איתנו: 

>> Full Stack Engineer
>> Front End Engineer
>> Security researcher
>> Test Engineer

בואו לעבוד בחברות ההייטק המובילות במשק

תוכן מקודם