Почему финансовые компании любят контейнеры Docker

Высокотехнологичные банки были одними из первых и самых восторженных сторонников контейнеров Docker.

Goldman Sachs инвестировал $ 95 млн в Докер в 2015 году. Bank of America имеет огромную команду разработчиков из 17 500 человек, в которой работают тысячи контейнеров. Лучшие финтех-компании, такие как Coinbase, также запускают контейнеры Docker на облаке AWS. Почти четверть предприятий уже используют Docker и еще 35% планируют использовать его.

Может показаться необычным, что одна из наиболее подверженных риску и высоко регулируемых отраслей промышленности должна инвестировать в такую новую технологию. Но на данный момент кажется, что потенциальные выгоды намного перевешивают риски.

Почему контейнеры?

Контейнеры позволяют описывать и развертывать шаблон системы за считанные секунды, со всеми инфраструктурными кодами, библиотеками, конфигурациями и внутренними зависимостями в одном пакете. Это означает, что файл Docker может быть развернут практически в любой системе; приложение в контейнере, работающем в среде тестирования AWS, будет работать точно так же в производственных средах в частном облаке.

На рынке, который все больше и больше бросается в глаза в отношении блокировки поставщиков облачных решений, контейнеры удалили еще одно препятствие для перемещения контейнеров через AWS, VMware, Cisco и т. д. Опрос 745 ИТ-специалистов показал, что ведущие специалисты в области ИТ принимают докер-контейнеры для создания гибридного облака.

На практике команды обычно не перемещают контейнеры от облачных до облачных или от ОС к ОС, а скорее получают выгоду от того, что разработчики имеют общую операционную платформу на нескольких инфраструктурных платформах. Вместо того, чтобы перемещать один и тот же контейнер из VMware в AWS, им выгодно упрощать и объединять процессы и процедуры для нескольких команд и приложений. Вы можете себе представить, что компании финансовых услуг, которые поддерживают инфраструктуру с открытым кодом, VMware и несколько общественных облаков, получают выгоду от использования контейнера в качестве общей платформы.

Контейнеры также легче автоматизировать, что может снизить затраты на обслуживание. Как только обновления ОС и пакетов будут автоматизированы с помощью службы, такой как CoreOS, контейнер станет не требующим обслуживания, одноразовым «вычислительным ящиком» для разработчиков, чтобы легко обеспечить и запустить код. Компании финансовых услуг могут использовать свое существующее оборудование, получая гибкость системы и гибкость одноразовой инфраструктуры без полномасштабной миграции в общедоступное облако.

В больших командах влияние этих КПД — увеличение на сотни или тысячи инженеров — может оказать огромное влияние на общую скорость технологических инноваций.

Большие проблемы: безопасность и соответствие

Один из первых вопросов, которые задают предприятия по поводу контейнеров, — это: Какая модель безопасности? Каковы последствия от контейнеризации ваших существующих инструментов и процессов безопасности инфраструктуры?

Правда в том, что многие из ваших текущих инструментов и процессов должны будут измениться. Часто ваши существующие инструменты и процессы не «осведомлены» о контейнерах, поэтому вы должны применять креативные альтернативы для соответствия вашим внутренним стандартам безопасности. Именно поэтому Bank of America запускает контейнеры только в тестовых средах. Хорошей новостью является то, что эти проблемы ни в коем случае не являются непреодолимыми для компаний, которые стремятся к контейнеризации; Например, Международная биржа ценных бумаг проводит два миллиарда транзакций в день в контейнерах под управлением CoreOS.

Вот лишь несколько примеров типов изменений, которые вы должны были бы сделать:

Мониторинг: Самое важное влияние контейнеров Docker на безопасность инфраструктуры заключается в том, что большинство ваших существующих средств безопасности — мониторинг, обнаружение вторжений и т. д. — не знакомы с компонентами виртуальной машины, то есть контейнерами. Большинство инструментов мониторинга на рынке только начинают рассматривать временные экземпляры публичных облаков, но далеко позади предлагают функциональные возможности для мониторинга объектов суб-VM. В большинстве случаев вы можете удовлетворить это требование, установив средства мониторинга и IDS на виртуальные экземпляры, которые размещают ваши контейнеры. Это будет означать, что журналы организованы экземпляром, а не контейнером, задачей или кластером. Если IDS требуется для соответствия, в настоящее время это лучший способ удовлетворить это требование.

Ответ на инцидент: традиционно, если ваша IDS берет сканирование с отпечатком известной атаки безопасности, первым шагом обычно является просмотр того, как трафик протекает через среду. Контейнеры-докеры по своей природе заставляют вас меньше заботиться о вашем хосте, и вы не можете отслеживать трафик между контейнерами или оставлять машину, чтобы увидеть, что находится в памяти (в Docker нет текущей памяти). Это потенциально может затруднить доступ к источнику предупреждения и потенциальным данным.

Использование контейнеров на самом деле не понято более широким сообществом infosec и аудитора, что является потенциальным аудитом и финансовым риском. Скорее всего, вам придется объяснить Docker вашей QSA — и у вас будет немного внешних сторон, которые помогут вам создать хорошо протестированную, проверяемую систему Docker. Прежде чем внедрять Docker в широком масштабе, поговорите со своей командой GRC о последствиях контейнеризации для реагирования на инциденты и работе над созданием новых томов. В качестве альтернативы вы можете сначала попробовать Docker в рабочей нагрузке, не связанной с выполнением больших объемов или не производственной частью.

Патчинг: в традиционной виртуальной или общедоступной облачной среде патчи безопасности устанавливаются независимо от кода приложения. Процесс исправления может быть частично автоматизирован с помощью инструментов управления конфигурацией, поэтому, если вы запускаете виртуальные машины в AWS или где-либо еще, вы можете обновить рецепт и «принудительно» настроить все ваши экземпляры из центрального концентратора. Или вы можете использовать сервис, такой как CoreOS, для автоматизации этого процесса.

Изображение Docker имеет два компонента: базовое изображение и образ приложения. Чтобы исправить контейнерную систему, вы должны обновить базовое изображение, а затем перестроить образ приложения. Поэтому в случае уязвимости, такой как Heartbleed, если вы хотите убедиться, что новая версия SSL находится в каждом контейнере, вы обновите базовое изображение и заново создадите контейнер в соответствии с типичными процедурами развертывания. Усовершенствованный процесс автоматизации развертывания (который, скорее всего, уже существует, если вы уже используете контейнеры) сделает это довольно простым.

Одной из наиболее перспективных функций Docker является степень зависимости приложений от самого приложения, предлагая возможность исправления системы при обновлении приложения, то есть часто и потенциально менее болезненно.

Короче говоря, для реализации патча обновите базовое изображение, а затем перестройте образ приложения. Это потребует, чтобы системы и команды разработчиков тесно сотрудничали друг с другом, и обязанности были ясны.

Почти готов к прайм-тайм

Если вы хотите реализовать Docker и готовы принять определенный риск, то описанные здесь методы помогут вам контролировать и патчировать контейнеризованные системы. Многие управляют контейнерными системами для клиентов финансовых услуг, которые уверены, что их среды соответствуют нормативным требованиям.

Поскольку общедоступные облачные платформы продолжают развивать свою поддержку контейнеров, а более независимые поставщики программного обеспечения входят в пространство, ожидайте, что эти «канонические» методы безопасности Docker будут быстро меняться. Через девять месяцев или даже через три месяца появится инструмент, который автоматизирует большую часть того, что является ручным или сложным в безопасности Docker. Когда предприятия в восторге от новой технологии, скорее всего, последует целая новая отрасль.

Поделиться в социальных сетях:

Добавить комментарий