Эффективный аудит виртуальных сред с Runecast Analyzer
До начала эпохи виртуализации для запуска приложения необходимо было приобрести физический сервер, установить на него операционную систему, и только после этого в ее среде можно было развернуть необходимое прикладное ПО (веб-сервер, сервер БД и пр.). Весь процесс мог занимать недели и даже месяцы. Итоговое решение получалось дорогим, трудно масштабируемым и зачастую не обеспечивало нужный уровень доступности сервиса.
От виртуальных машин к контейнерам
Виртуализация на заре своего появления немного упростила задачу. Теперь уже на физический сервер устанавливался гипервизор, а уже в его среде запускались виртуальные машины (ВМ). Они тоже требовали установки операционных систем и прикладного ПО, но количество физических серверов в инфраструктуре уже можно было снизить на порядок. Такой подход позволил перейти к гибкому управлению ресурсами и эффективно избегать простоев аппаратного обеспечения.
Впрочем, установка операционных систем на каждую ВМ все еще могла занимать от нескольких минут, до часов. Каждой ВМ необходимо было обеспечить безопасную среду функционирования, регулярно устанавливать на нее патчи и проводить другие регламентные работы, требующие серьезных затрат времени и труда команды системных администраторов.
Стремительное распространение информационных сервисов привело к тому, что в ряде случаев и вышеописанной схемы виртуализации стало недостаточно. Если дата-центр находится в Москве, а сервис надо предоставить на Дальнем Востоке, передача необходимых данных на такое большое расстояние потребует заметных затрат времени и ресурсов. Решением подобных задач сейчас занимаются провайдеры облачных услуг, предоставляющие их в том месте, где они в настоящий момент востребованы.
Так, к примеру, Amazon Web Services (AWS) располагает огромным количеством площадок по всему миру и может запустить рабочую нагрузку заказчика максимально близко к ее потребителям. Правда, и в этом случае сохраняется необходимость развертывания ВМ, установки на них ОС и прикладного ПО.
Отказаться от всего этого помогают виртуальные контейнеры. В отличии от виртуальной машины, контейнер функционирует как отдельный процесс. На физическом сервере устанавливается единая ОС, как правило на базе Linux, «поверх» которой располагается программный слой CRI (Container Runtime Interface), позволяющий запускать контейнеры.
В качестве рабочей нагрузки контейнера выступает единственный относительно простой процесс, не содержащий в себе ничего лишнего. Это может быть сервер Tomcat, MySQL, Nginx и т.п.
Преимущество контейнера перед традиционной виртуальной машиной достигается за счет практически мгновенного запуска, но не только. Контейнер не требует к себе особого внимания. В случае возникновения каких-либо проблем, он просто останавливается, а вместо него сразу же запускается новый.
Отметим, что преимущества контейнеризации сочетаются с некоторыми свойственными им слабыми местами. Одним из основных является чрезвычайная сложность управления системой, в которой параллельно работают хотя бы несколько десятков контейнеров.
Для решения этой проблемы компания Google создала Kubernetes – специальную платформу с открытым исходным кодом. По сути, это решение для оркестрации контейнеров, позволяющее использовать любые CRI, будь то Docker, rkt и т.д.
Однажды создав с помощью Kubernetes некий набор контейнеров, его можно запускать где угодно и в любой момент. При этом работать они будут как одно целое. В принципе, приложения могут быть любыми, но наилучший результат достигается в том случае, если эти приложения изначально разрабатывались как микросервисы для работы в облачных средах и легкого «горизонтального» масштабирования в случае повышения нагрузки.
Контейнеризация – технология относительно новая, но очень перспективная. Специалисты в данной области широко востребованы рынком, но по-настоящему отлично владеющих предметом инженеров не так много. Часто это приводит к тому, что системному администратору приходится учиться «на лету», шаг за шагом осваивая новые навыки и исправляя допущенные ошибки. И помощь на этом пути никому не помешает.
Аудит безопасности и не только
Серьезную поддержку как начинающим, так и опытным специалистам в области контейнеризации может оказать Runecast Analyzer. Это программный инструмент, способный в автоматическом режиме детально проверять все конфигурационные параметры развернутых на сервере или в облаке контейнерных сервисов. На основании собранных данных он составляет подробный отчет о том, насколько оптимально и безопасно функционирует анализируемая система.
В задачи Runecast Analyzer входит проверка соответствия действующих настроек кластеров Kubernetes на соответствие рекомендациям по безопасности CIS Kubernetes Benchmark и лучшим отраслевым практикам, применяемым в области контейнеризации.
Надо отметить, что поддержка Kubernetes в Runecast Analyzer появилась только в октябре 2020 года, в то время как функциональность этого инструмента гораздо шире. Его с одинаковым успехом можно использовать на любых стеках виртуализации, включая vSphere, vSAN, NSX-V, NSX-T и Horizon, а также в облаках VMware на AWS.
Применение REST API для подключения Runecast Analyzer к анализируемой системе позволяет автоматизировать запросы к этому инструменту при помощи уже имеющихся в компании программных средств автоматизации.
Помимо конфигурационных параметров Runecast Analyzer проверяет все драйверы и их соответствие используемому оборудованию. Кроме того, много полезной информации извлекается и из системных логов.
В инфраструктуре VMware Runecast Analyzer традиционно запускается в виде отдельной виртуальной машины. Однако, с появлением поддержки AWS и Kubernetes понадобился иной способ запуска, не привязанный к наличию у пользователя среды VMware. Для этого была разработана специальная версия инструмента, доступная для загрузки в магазине приложений AWS. Ее не обязательно запускать в собственной инфраструктуре, ведь она может быть развернута прямо на AWS.
После развертывания Runecast Analyzer подключается к анализируемым системам при помощи отдельной учетной записи. Вся собранная с них информация проверяется на наличие возможных проблем, описанных в стандартах DISA STIG, PCI DSS, BSI IT-Grundschutz, HIPAA, NIST, GDPR и др. В процессе работы Runecast Analyzer никакая информация не покидает обслуживаемую систему. Даже онлайн-обновления самого инструмента, устанавливаемые извне, представляют собой исключительно однонаправленную передачу, что обеспечивает надежную защиту от возможных утечек чувствительных данных.
Узнать больше о возможностях Runecast Analyzer, а также познакомиться с его работой и интерфейсом на реальных примерах вы можете, посмотрев наш вебинар, подготовленный при непосредственном участии представителей Runecast Solutions.