לחשוב מחוץ לקונטיינר

מאז הופעתן של מערכות אוטומטיות לפריסה וניהול של סביבת קונטיינרים, במהלך שנת 2015, נצפה גידול הולך ועולה בשימוש בהן - מה היתרון שלהן ומה חשוב לדעת בנוגע לאבטחת התחום?

12/08/2019 14:04
עמית קפלן ואור קליגר, חוקרי אבטחת מידע, GE Digital. צילום: יח"צ

עוד משחר ימי המחשוב נאבקו מפתחי החומרה והתוכנה במגבלות ובמשאבים הנדרשים על-ידי המשתמשים. כאשר המשתמשים דרשו זיכרונות נוספים, המפתחים נאלצו ללמוד למזער אותם, על מנת שלא ימלאו חדרים שלמים; כאשר הייתה דרישה לתקשורת מהירה יותר, הומצאו טכנולוגיות חדשות על מנת שמעבר המידע יהיה מהיר ועדיין אמין. כעת, יש צורך למזער עוד בזבוז משאב: זמן.

בעוד שפריסת סביבת עבודה עבור משתמש בודד היא משימה פשוטה למדי, פריסת סביבות עבודה שונות עבור אלפי ואפילו מיליוני משתמשים, שבעבר נראתה כמו תסריט של סרט מדע בדיוני, היא כיום מציאות שבה נתקלות חברות רבות. פריסה של מערכות כאלו דורשת זמן רב, וזהו משאב שחברות רבות אינן מוכנות לבזבז, מכיוון שבאותו הזמן המשתמשים המיועדים אינם יכולים להשתמש במערכת, המערכות אינן פועלות והפעולה תופסת את מרבית זמנם של פורסי הסביבות.

כתוצאה מכך, היה צורך למצוא פתרון מהיר ויעיל. על מנת לפתור בעיה זאת, חברות שונות בעולם המחשוב השתמשו בעיקר במכונות וירטואליות (Virtual Machines), המאפשרות פריסה עבור מיליוני משתמשים. למרות זאת, בשנים האחרונות החל אימוץ נרחב של טכנולוגיית קונטיינרים (Containers) לביצוע משימה זו, על-ידי החברות הגדולות והמובילות בשוק, כמו GE Digital, סיסקו, גוגל ומיקרוסופט. אבל מדוע השוק פנה בכלל לקונטיינרים? הרי הפתרון הבשל של המכונות הווירטואליות קיים כבר כעשרים שנה, והן מכילות מגוון כלים לניהול ופריסת סביבה וירטואלית וכן אבטחה ברמה גבוהה.

התשובה לכך היא יעילות. בעוד שכל מכונה וירטואלית מריצה מערכת הפעלה מלאה, קונטיינר מממש רק רובד מסוים של מערכת ההפעלה. יתרה מזאת, קונטיינר עוטף סביבה שלמה, כולל תוכנות וספריות בגרסאות המסוימות שבוחר המפתח, דבר החוסך התקנה מחדש של אותן הספריות בתהליך הפריסה של השירות. הקונטיינרים מאפשרים פריסה מהירה וזולה מבחינת משאבים, דבר שמקל על הקצאת משאבים נוספים לשירות בעת הצורך, בדומה למכונות וירטואליות.

אימוץ טכנולוגית הקונטיינרים האיץ את התהליך של פיתוח מערכת אוטומטית לפריסה וניהול של סביבת קונטיינרים (Containers Orchestration). כתוצאה מכך, החלו להופיע מגוון פתרונות, אשר המובילים שבהם הם Swarm מבית דוקר, Kubernetes מבית גוגל, ו-Marathon מבית אפץ' מזוס. כל אחד מהפתרונות הללו מאפשר לפרוס ולנהל סביבה מבוססת קונטיינרים, כאשר המערכת לא רק עונה על הדרישות הנחוצות (בידוד מוחלט או שיתוף של משאבים בין קונטיינרים מסוימים), אלא מסוגלת לייצר ולמחוק קונטיינרים לפי דרישה, תוך ניצול יעיל של משאבי הסביבה, כגון שטח אחסון, יחידות עיבוד, זיכרון, ועוד.

גרף תפוצת מערכות אוטומטיות לפריסה וניהול של סביבת קונטיינרים. מטעם חברת GE Digital

גרף תפוצת מערכות אוטומטיות לפריסה וניהול של סביבת קונטיינרים. מטעם חברת GE Digital

מאז הופעתן של מערכות אוטומטיות לפריסה וניהול של סביבת קונטיינרים במהלך שנת 2015, ניתן לראות גידול הולך ועולה בשימוש בהן, בעוד שמערכות מקבילות בתחום המכונות הוירטואליות מאבדות באופן יחסי מהפופולריות. כבר בראשית 2017, כפי שמתואר בגרף* להלן, עקפה Kubernetes מערכות מקבילות מהעולם הווירטואלי, כגון vSphere ו-OpenStack, עד כי היום היא פופולרית יותר משתיהן יחד.

אבטחה בעת ההתקנה של מערכת פריסת וניהול קונטיינרים 

בעוד שכל מערכת קונטיינרים מספקת אפשרויות אבטחה רבות, ההתקנה של מערכת פריסת וניהול קונטיינרים יכולה לעתים דווקא לפגוע בהגנה ולבטל הגנות קיימות. לדוגמה, רכיב ה-Kubelet ב-Kubernetes, האחראי לנהל את סביבת הקונטיינרים על השרת בו הוא רץ, אינו דורש הזדהות כאשר משתמשים בהגדרות ברירת המחדל.

נשאלת השאלה, האם באמת המערכות הללו אינן מספקות הגנה. לפני שנפנה אצבע מאשימה לעבר Kubernetes ודומותיה, הבה נבחן את הפתרונות שהמערכת מציעה. Kubernetes מספק מגוון רחב של יכולות אבטחה, החל בזיהוי ואימות לכל רכיבי המערכת שלו, דרך החלת מדיניות התקשרות וצריכת משאבים עבור הקונטיינרים, ועד להתערבות ושינוי של בקשות משתמש בזמן אמת. ניתן לראות כי בעזרת הכלים ש-Kubernetes מספק, ניתן בקלות להתגבר על הסכנה של השתלטות מלאה על שרתים בסביבה דרך ה-Kubelet. כל מה שצריך לעשות זה לדרוש זיהוי ואימות על מנת לתקשר עם ה-Kubelet, ולהגביל את התקשורת ל- Kubelet מקונטיינרים שאינם מיועדים לתקשר איתו.

הבעיה, אם כך, אינה נעוצה במוצר עצמו, אלא בהתקנתו ובהתאמתו לכל חברה. התקנה פשוטה תוך כדי שימוש בהגדרות ברירת המחדל עלולה להיות מסוכנת ופגיעה ויש להשתמש באפשרויות האבטחה ש-Kubernetes יכול לספק לסביבת הקונטיינרים שהוא פורס.

כתוצאה מכך, מומלץ מאוד לפני התקנה של קונטיינרים, לבחון את ההמלצות והתהליכים (Best Practices) עבור המוצר אותו החברה מתקינה, ולהפעיל גם כלים אוטומטיים לבדיקה של פרצות אבטחה ידועות. מתחילת שנת 2019 נוספו שבע פגיעויות חדשות שמתבססות על גרסאות ישנות, ולכן מומלץ מאוד גם לעדכן את המוצר מדי פעם ואת כל התקני האבטחה הנלווים אליו.

לסיכום, ניתן לציין כי מערכות אוטומטיות לפריסת סביבת קונטיינרים הן פתרון מהיר ויעיל עבור סביבות שנועדו לשרת המוני משתמשים, אך אבטחת הסביבה חשובה לא פחות, ולכן על פורסי הסביבות להבין את הצרכים ואת דרישות האבטחה של הסביבה על מנת שיוכלו להימנע מהגדרות לא נכונות אשר יהפכו אותה לטרף קל עבור הפצחנים.

הכותבים הם חוקרי אבטחת מידע בחברת GE Digital

תגובות

(2)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. הוביז

    מרתק!!! עכשיו הייתי גונב אחד מהם להקמת סטארטאפ

אירועים קרובים