Container Security (Antivirus – Anti-malware – Image scan-vulnerabilities)
دائما ما يقابلنى عندما اتناقش مع اى شخص او فى اى Event عندما نتكلم عن ال Container Technology بيكون دائما فيه مقارنه بينها وبين ال Virtualization Technology وهذا شئ طبيعى وبنشرح دائما الفرق بين الاتنين
هذا بسبب انها الاقرب لعالم ال Container وايضا بسبب الخلفيه التكنيكال لغالبيه الحضور والمهتمين
لكن الشئ الغير صحيح هو اننا بعد ما نفهم فكرة عمل ال Container Technology نظل نطبق عليها ما هو مطبق ومستخدم فى عالم ال Virtualization وهذا يسبب مشاكل كثيرة لان كل تكنولوجيا لها طريقه معينه واستخدامات فبالتالى لا يمكن تطبيق عليها نفس القواعد المطبقه على التكنولوجيا الاخرى
بالطبع انا ليس هدفى من هذة المقدمه انى اشرح الفروق بينهم لان الانترنت واليوتيوب والموقع هنا ملئ باطنان من المقالات والفيديو التى توضح الفرق بين الاتنين حتى عملوا رسمومات كرتونيه وامثله بسيطه ليكى يسهلوا توضيح الفرق بين الاتنين لاى شخص مبتدا
الهدف من هذة المقدمه الطويله بعض الشئ هو توضيح نقطه دائما يتم مناقشتها وهى اننا نحتاج ان نطبق نفس مستوى ال Security الموجود فى عالم Physical or Virtual على ال Container وهذا شئ يعتبر من الناحيه التكنيكال ليس له داعى فى الحقيقه لان طبيعه عمل ال Container هى الحياه القصيرة السريعه ويتغير بسرعه ويتغير البرامج التى تعمل داخله ويتغير اسمه وال IP الخاصه به باستمرار لانه يعتبر Floating وليس Persistent لذلك فى الحقيقة لا احتاج له مثلا Antivirus ليكى يعمل داخله مثل ال VM or Physical Server
ملحوظه: من الناحيه التكينكال يمكن عمل Antivirus و Anti-malware وكل انواع ال Security عليه لكن ليس هناك احتياج فعلى وسوف نوضح لماذا.
هنا هركز بعض الشئ على Security من جزء ال Antivirus and Anti-malware وليس ال Firewall ( هنتكلم عليها فى مقال اخر)
لو فهمنا اسلوب عمل ال Container جيدا وكيف هو يعمل هنجد ان ال Container فى حد ذاته شئ يعمل بشكل مؤقت وحياته قصيرة ويعمل باسلوب ال Application Life-cycle (CI/CD) ومع كل تحديث او ترقيه بيتم مسح هذا ال Container وعمل واحد اخر محدث
لذلك هنجد ان الاهم فى عمليه ال Scan ليس ال Container وانما ال Image الخاصه بهذا ال Container والتى تتحول فى النهايه وتعمل فى صورة Container فلو عملنا Scan لهذة ال Image وتاكدنا انها نظيفه من اشياء كثير هنسردها بعدين فمعنى هذا ان ال Container نظيف
والاكثر من ذلك ولأن تكنولوجيا ال Container مرتبطه بدورة حياه البرنامج ال CI/CD فلدينا القدرة اننا نعمل Scan لكل مراحل حياه تطوير البرنامج الذى سوف يعمل فى النهايه فى صورة Container يعنى مش هنتظر ان البرنامج يتحول ال Image واعمله Scan لا انا ممكن اعمل Scan لكل مراحل ال App Life-cycle عن طريق ال Integration with CI/CD tools or Version control من امثال Git, GitHub, Jenkins وغيرها من البرامج
وانا بقوم بعمل الكود فبيكون هناك مرحله اعمل لها Scan وهناك تطبيقات ذكيه جدا بتقوم بهذا الدور مثل Trend Micro
لاحظ المستوى الذى صولنا له فى مراحل ال Scan مراحل متقدمه جدا من البدايه ومن الكود نفسه
من ناحيه تانيه حتى عندما يعمل ال Container وفى اى عمليه للتحديث او التعديل بتقوم البرامج مثل ما ذكرنا بعمل Scan لهذا التعديل
وايضا تعمل على Monitor الملفات التى يستخدمها ال Container على ال Docker Host
وبالطبع كما هو متوقع ان ال Docker Host نفسه وايضا ال OS سواء لينكس او ويندوز عليه Normal Antivirus لعمل Scan لكل الملفات ومن ضمنها الملفات التى يتعمل معها ال Container نفسه
Deep Security protection for the Docker host
- Virtual patching/ Intrusion prevention service (IPS)
- Anti-malware
- Integrity monitoring
- Log inspection
- Application control
- Firewall protection
- Web reputation
Deep Security protection for Docker containers
- Virtual patching/ Intrusion prevention service (IPS)
- Anti-malware
اظن بهذا الشكل لا يوجد منفذ لدخول فيروس لهذا ال Container وبالذات لو عندك فى النيتورك Antivirus على مستوى النيتورك والفيروول
فيه العديد من الشركات الحاليه التى تقدم حلول لموضوع ال Container Security على عدة مستويات ( Firewall, IPs, Antimalware, Image Scan, vulnerabilities, Access Control ) وغيرها
يعتبر غالبيه الشركات التى تعمل فى هذا المجال تعتبر شركات Startup لكن هناك شركات قديمه وكبيره تعمل على عمل حلول ايضا مثل Trend Micro for Container بتقدم حلول جيدة حاليا هلى مستوى ال Container and Host
كان لى تجربه شخصيه من عام 2017 فى مؤتمر ال Docker-con فى اوروبا عندما حضرته وقابلت هذة الشركه فى المكان الخاص بالعارضين وكان هى الوحيدة من الشركات المعروفه فى مجال ال Security الحاضرة فى المؤتمر فذهبت لهم وسالتهم ماذا تقدمون ل Container Technology فاخبرونى انهم يعملون على Security Solution for Container وكان وقتها هو مشروع لديهم لم يظهر الى النور الا بعدها بسنه تقريبا
ومن المتوقع فى القريب العاجل ويمكن يكون صدر بالفعل من بقيه الشركات العامله فى مجال السيكيورتى حلول تتناسب مع ال Container ( السوق ملئ بالشركات الصغيره التى تقدم هذة الحلول ) لكن نحن نتكلم عن الشركات الكبيرة المعروفه والتى نستخدمها حاليا على اجهزتنا الشخصيه والسيرفرات
فى الصورة التاليه مجموعه من الشركات المتخصصه فى ال Security الخاصه بال Container وكل منها يقدم اشياء مختلفه ليسوا متشابهين فى نفس الخدمات – ويمكن مشاهدة التفاصيل لكل شركه من خلال موقع cncf.io
ان شاء الله هيكون فيه مقال اخر بخصوص ال Security الخاص بال Container لكن من منظور ال Firewall
ملحوظه: لكى تسطيع فهم هذا المقال جيد والمغزى منه وقبل طرح اى اسئله – لازم تبقى فاهم كيف يعمل ال Container وما هى ال App Life-cycle وموجود شرحهم والفرق بين ال VM & Container فى الموقع فى الفيديوهات المسجله
فى النهايه مازال مجال ال Security for Container فى بدايته لكن الجميل فيه انه يتطور بسرعه جدا والعديد من الشركات الجديدة والكبيرة تعمل فيه ووصلنا لمراحل متقدمه جدا
وبالتوفيق للجميع