О преимуществах и недостатках контейнеров

Слабые звенья

добавить в избранное

О преимуществах и недостатках контейнеров

Прочитали: 29582 Комментариев: 47 Рейтинг: 73

10 декабря 2019

Мы не раз писали о технологии Docker, но поскольку это сложная для восприятия информация, не все понимают, для чего эта технология нужна. Давайте сегодня попробуем разобраться в сущности этой технологии с помощью образного сравнения.

Предположим, вам нужно перевезти по морю некий груз. Для перевозки вы можете купить судно – крейсер или линкор, и нанять собственную команду, которая будет им управлять. Его броня полностью изолирует ваш груз от вредоносных воздействий. А вооруженный знаниями надежный экипаж не допустит на борт ничего лишнего. Конечно, это дорогая услуга. И поскольку в порту может поместиться не так много кораблей, а грузов много, то на вход в порт выстраивается очередь или нужно его расширять.

Внутри такого корабля действует наша юрисдикция – какие законы установим, такие и действуют. Так и внутри виртуальной машины может быть развернута практически любая операционная система.

В общем, виртуальная машина – это полная изоляция от иных виртуальных машин и самой операционной системы, на которых все они запущены, непробиваемость (количество вредоносного ПО, способного перемещаться между виртуальными машинами, достаточно мало), но большая ресурсоемкость – и по месту на диске, и по необходимости выделения оперативной памяти.

Представим другой вариант – контейнеровоз. Все грузы от разных заказчиков находятся на одном корабле, все помещаются в один порт. Но если пираты взобрались на борт корабля, то контейнеры вскрываются на раз – никакой изоляции извне у них нет.

В данной аналогии море – это операционная система, она никак не ограничивает запуск приложений (будь то в виртуальной машине, контейнере Docker или непосредственно в самой операционной системе), а порт – это ресурсы компьютера, они всегда ограничены.

Виртуальная машина полностью (ну, почти) изолирует запускаемое приложение от той операционной системы, на которой она запущена. Она использует возможности этой ОС, чтобы запуститься, но запускает она не непосредственно нужное пользователю приложение, а еще одну операционную систему. И приложение запускается в уже этой операционной системе. Это дает огромные возможности, но и ресурсов требует немало – в этой ОС работает (и потребляет ресурсы) множество ненужных пользователю сервисов. Как же сделать так, чтобы нужное приложение для запуска изолировалось от основной ОС только с нужными для ее работы файлами/сервисами/данными – но ни с какими иными? Это и есть контейнер.

Еще одна аналогия контейнера. Положим, мы решили развозить грузы. Покупаем велосипед. Получаем заказ, клонируем велосипед, красим его в цвета заказчика и тюнингуем его под требования заказчика, добавляя обвес. Запускаем на выполнение заказ. Заказ выполнен – транспортное средство растворилось в воздухе. При этом условие: изнутри транспортного средства заказчик не имеет выхода наружу, для перемещения транспортное средство использует внешние ресурсы, разделяя их с другими транспортными средствами, и снаружи есть доступ ко всем файлам контейнера (но напомним, не наоборот – проходимость односторонняя!).

Это дает нам минимальные требования по ресурсам и отсутствие возможности для запущенного в контейнере приложения что-то испортить в основной системе. Но при этом он полностью уязвим для атак извне, чем и пользуются злоумышленники.

Некая группировка сканирует сеть Интернет на наличие серверов, на которых возможен запуск Docker. Обнаружив такой, злоумышленники создают контейнер на основе Alpine Linux и запускают в нем майнер криптовалюты Monero.

Источник

Интересно, что в данном случае злоумышленники атакуют не сами контейнеры – они их создают на тех системах, где имеется возможность запуска контейнеров.

#Windows #Linux #антивирус #сервер #контейнер

Антивирусная правДА! рекомендует

Windows у вас или Линукс:

закройте все ненужные порты для доступа снаружи;
проверьте систему на неустановленные обновления;
не давайте возможности пользователям работать с повышенными правами;
используйте антивирус, он даст вам возможность проверить все контейнеры на наличие вредоносных программ. Нет необходимости устанавливать антивирус в сам контейнер. Как мы помним, снаружи контейнеры могут быть проверены на «запрещенный груз» – антивирус это сделает.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Альфа
16:58:52 2020-01-13

С антивирусом многие проблемы нестрашны.

Володя
23:03:09 2020-01-06

Да разжевали и по полочкам разложили, спасибо!!!

Sasha50 Собкор
14:01:39 2019-12-12

Хорошо объяснили. Прям "на пальцах". Многое стало понятным.

Шалтай Александр Болтай Собкор
22:43:21 2019-12-10

Если пытаешься закрыть квадратный контейнер круглой крышкой — это понедельник. Если получается — это пятница.

razgen Собкор
22:40:07 2019-12-10

Как говорится, информация для размышления и претворения в жизнь.

Toma
22:32:24 2019-12-10

Антивирус нужен обязательно!

Геральт Собкор
22:25:09 2019-12-10

В цифровой век без антивируса никуда.

Masha
21:20:43 2019-12-10

Главное, следовать рекомендациям Dr.Web! И все будет в порядке!

Денисенко Павел Андреевич
21:17:08 2019-12-10

Никогда в жизни не сталкивался с Docker-ом.
Советы в разделе "Dr.Web рекомендует" написаны для Windows и Линукс, а для macOS эти советы тоже подойдут?

orw_mikle
20:36:02 2019-12-10

Есть на ПК контейнер или его нет. Есть Docker или его нет. Рекомендации одинаковы для всех.

matt1954
19:37:24 2019-12-10

Безусловно,интересный выпуск-полезен своими рекомендациями...Спасибо!

anatol
18:47:05 2019-12-10

Уже хорошо, если не давать пользователям повышенные права и неукоснительно использовать антивирус.

L1t1um
18:39:55 2019-12-10

Для общего развития нормальная статья. Не сталкивался с контейнерами.

admin_29
16:37:01 2019-12-10

не приходилось пользоваться контейнерами

Татьяна
16:15:42 2019-12-10

Не приходилось сталкиваться с технологией Docker. За рекомендации спасибо!

DrKV Собкор
15:18:54 2019-12-10

Я так понимаю, рекомендации касаются всех пользователей, даже если они не пользуются виртуальными системами. Будем придерживаться этих правил.

EvgenyZ
15:13:52 2019-12-10

Прочитал в целях просвещения, спасибо!

Любитель пляжного футбола Собкор
14:58:46 2019-12-10

Всё равно контейнерами вряд ли буду пользоваться, не было такой необходимости, да и мало я что о них знаю.

Dmur
13:45:24 2019-12-10

Информация интересная. Буду следовать рекомендациям Dr.Web!

vinnetou
13:20:31 2019-12-10

Спасибо за выпуск и полезные рекомендации!!!На днях обновлял ОС,антивирус обновляется регулярно,без этого никак.

gebrakk
12:54:22 2019-12-10

Использование антивируса и рекомендаций Д-ра Веб решает проблемы

Zserg
12:37:12 2019-12-10

Корабль-система всё перевезёт вместе с Dr.Web.

ClassiC
12:20:15 2019-12-10

Верю в Доктор Веб : ) с(_)
Сам я разбираюсь поверхностно во всём - вся надежда на вас .....

I46
11:46:24 2019-12-10

Поиграй со мной, контейнеровоз!

Lenba
11:32:58 2019-12-10

Защищай контейнеры и внутри, и снаружи.

Sergey
10:58:50 2019-12-10

@tigra, и все-таки большое Вам спасибо! Честно говоря меня этот вопрос задел, люблю и хочу во всем разобраться, особенно когда это касается безопасности. Я сейчас специально изучил тему блокировки портов Брандмауэром Dr.Web, так как в этом вопросе был профаном (чайником). Прочитал предыдущие выпуски "АП" от 16.06.2017 и 05.09.2017. Все оказалось не так уж сложно, покопался в настройках брандмауэра по приведенным в статьях рекомендациям и заблокировал ненужные порты 135, 139, 445, 1024-1035 для входящих соединений. Теперь уж WannaCry точно не проскочит и потенциальных уязвимостей осталось меньше.

Alexander Собкор
10:49:12 2019-12-10

Хитрое, конечно, решение создания и использования "контейнеров". И образные аналогии помогают наглядно представить суть решения. Полагаю, что SFX-архив это тоже своеобразный "контейнер". Каждое решение имеет свои плюсы и минусы, главное, - итоговый ожидаемый результат с наименьшими "потерями". Спасибо за статью. Радует, что Dr.Web Security Space, как интеллектуальная протоплазма, умеет и распознать содержание чужеродного "контейнера", и нейтрализовать при необходимости его нежелательную функциональность.

Korney
10:39:10 2019-12-10

Как-то не доводилось пользоваться виртуальными машинами, но приведённые аналогии интересны.

sgolden
10:11:04 2019-12-10

ОС - это такой большоооой Контейнеровоз :)

Xamanaptr
10:04:25 2019-12-10

Установлено Dr.Web думаю мне его защиты будет достаточно!

Vlad X
09:02:34 2019-12-10

Статью прочитал,вроде понятно,но если закрою порты,будут ли
приложения правильно работать.Может лучше интернет выключить.
Стоит Dr.Web,на него надежда.

vkor
08:58:06 2019-12-10

Судя по рекомендациям, проблема вполне себе решаема.

marisha-san Собкор
08:50:21 2019-12-10

Вся надежда на Dr.Web.

Петрашкуль
08:37:36 2019-12-10

Уповаю только на Антивирус Dr.Web!

tigra Собкор
08:30:44 2019-12-10

@Сергей, как то в выпусках АП писали список портов: 135, 139, 445, 1024-1035. Благодарить не стоит)))

Неуёмный Обыватель Собкор
08:23:45 2019-12-10

С крейсером сравнение хорошее придумали, помогает понять "на пальцах". А вот с велосипедом не очень.

maestro431
07:51:02 2019-12-10

Сейчас без Антивируса никуда!

DoctorW
07:32:03 2019-12-10

Для общего развития информация пригодится!

ka_s
07:22:19 2019-12-10

Ликбез прошел. Аналогии способствовали восприятию материала. Больше всего обрадовали рекомендации. Поскольку они выполняются, душевное равновесие пришло в норму.

Пaвeл Собкор
07:13:02 2019-12-10

Рекомендации, как всегда, простые и полезные, спасибо!

cruise
07:12:05 2019-12-10

Несмотря на сложность технологии Docker в которой не очень просто разобраться, все правила информационной защиты сводятся к соблюдению элементарных правил, описанных в рекомендации Dr.Web.

Lex
06:47:43 2019-12-10

Порой брандмауэр Dr.Web спрашивает какие сетевые соединения разрешать приложению, а какие нет, и мне кажется, что не совсем логично простому пользователю принимать такие решения. Должны быть какие-то настройки по умолчанию для популярных приложений. А уж закрыть ненужные порты, здесь вообще непонятно.

Tanya086
06:28:01 2019-12-10

Ещё бы информативней было со схемкой картинкой! А так остается небольшая недопонятость!

Sergey
06:12:13 2019-12-10

"Закройте все ненужные порты для доступа снаружи...". Хотелось бы только узнать какие из портов являются ненужными.

Саня
05:42:23 2019-12-10

Снова эти майнеры, Антивирус вас всё равно найдет.

achemolganskiy
04:58:49 2019-12-10

Понял, что Доктор Веб находит в контейнеров всякий мусор и удаляет его.

Morpheus Собкор
04:52:37 2019-12-10

Вот так новость. Взяли залезли на сервер и установили свой контейнер :)

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

О преимуществах и недостатках контейнеров

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей