Security with Container Technology
كما نعرف جميعا الاهميه الكبيرة لل Security Part فى اى مشروع او Solution فى اى مجال او تخصص فى ال IT
ويعتبر جزء مهم فى اى Project اننا كيف نحمى هذا التطبيق او ال Solution من اى Attack وايضا Control Access
لذلك كان دائما هناك سؤال لاى شركه بداءت فى مشروع لل Container انها كيف نقوم بتأمين السيرفرات وال Container الخاصه بنا
ولن اكذب عليكم انه فى بدايه هذة التكنولوجيا كان هناك نقطات ضعف كبيرة فى هذا الجزء وكانت من اهم عيوبه هو ضعف ال Security الخاصه به ولم يكون هناك اداوات سواء داخليه او من شركات Third Parties لكى تعوض هذا الضعف
وهذا الكلام كان لوقت قريب نسبيا اخر 3 سنوات
لكن هذا الوضع تغيير بشكل جذرى بعد ما تأسست العديد من الشركات ال Startup وايضا بعض الشركات القديمه فى مجال ال Security قاموا بعمل اداوات لل Security مثل ما هو موجود فى ال Physical or Virtualization Technology
فاصبح لدينا Firewall, IPS, Scan Vuln, Audit, Tracing وغيرها وقريبا Antivirus
ويعتبر اغلب هذة الشركات التى تقدم هذة الحلول جديدة نسبيا وتصنف انها شركات Startup وبدءت العمل خلال من 3 الى 5 سنين الماضيه بسبب حاجه السوق لهذة ال Solutions
ولكى نوضح اهميه ال Security with Container Technology سوف نوضح ما هو مشاكل ال Security الموجودة فيها وتاثيرها وكيف حلها لكى يتضح للجميع الاهميه الكبيرة لهذة الحلول
- من خلال فهمنا لطريقه عمل ال Container Technology هنجد ان نقطه ضعف فى ال Security فى جزء ان كل ال Container تتشارك نفس ال OS Kernel وملفات ال Container موجودة فى صورة Folder على نفس ال OS HDD او على External storage فى صورة معزوله لكن مازالت متاحه لاى شخص يمكن فتحها من خلال هذا السيرفر وايضا لو لدينا Virus سوف يتم مهاجمه كل هذة الملفات ( الموضوع مختلف فى ال Virtualization لان الملفات الخاصة بكل VM مغلق عليها داخل ملف VMDK or VHD ولا يمكن فتحها الا ببرامج مخصصه وايضا ال VM لديها Antivirus خاص بها
ولحل هذة المشكله – يمكن البعض لا يهتم بيها ولا يتعبرها مشكله فى الاساس مثل الغالبيه – هناك حلول كثيرة ومشاريع انهم يجمعوا بين خصائص ومميزات ال Virtualization and Container Technology وهو سرعه ال Container مع الحمايه لدى ال Virtualization
وهناك عدة مشاريع مثل Kata Container , gVisor, RancherVM, Firecracker وهذة المشاريع من شركات كبيرة مثل Intel, Google, Amazon, VMware وغيرها
وسوف نتكلم فى مقال طويل ويمكن فيديو عن هذه النقطه تحديدا لان فيها تفاصيل ضخمه جدا
- نقطه الضعف التانيه وكان هى موضوع يهمنى جدا بشكل شخصى وبحثت كثيرا عنه بنفسى بين الشركات وفى المؤتمرات للسؤال عن انه كيف يكون لدى Firewall بين ال Container
لان طبيعه عمل ال Container انه ممكن عشرات ال Container تعمل داخل نفس السيرفر وتقوم بعمل Internal network خاصه ب ال Container ولها IP subnet مختلفه تماما عن الموجودة فى ال External network وبالطبع لا تمر من خلال ال our Switch or Firewall لذلك لا يمكن التحكم فى ال Traffic ما بين ال Container على نفس السيرفر وممكن وليس ممكن فقط وانما فى الغالب بيكون هذة ال Containers خاصه بعدة مشاريع وكل مشروع له طبيعه خاصه ومسئولين مختلفين لادارته ولا اريد ان يتم اى اتصال بين هذة ال Container بصورة غير مطلوبه
لذلك ظهر لدينا العديد من الشركات الجديدة لعمل Network and Firewall Service for Container Technology منها ما يقدم اننا نستطيع بناء Network بمواصفات معينه لكل مشروع وهناك من يقدم الافضل وهو Firewall كامل يستطيع من خلاله ان اقوم ببناء Polices and Rules مثل الموجودة فى اى Firewall متعودين عليه فى الواقع ومن خلاله نستطيع ان نتحكم فى ال Traffic بين ال Container على اساس الاسم او الجروب او ال IP ونغلق Port معين او اكثر وهكذا
هناك العديد من الشركات التى تقدم هذا الحلول – للاسف اغلبهم شركات اسرائيليه –
- Scan Vulnerabilities كما نعرف اهميه عمل Scan لكشف اى ثغرات او اختراقات او نقاط ضعف فى ال Applications الخاصه بنا لذلك كان هناك احتياج لنفس الشئ فى مجال ال Container ولان اى Container هو عبارة عن Image فى الاساس فكنا نحتاج الى اداه تقوم بعمل Scan لهذة ال Image لكشف اى ثغرات فيها قبل العمل وحتى بعد العمل عندما تصبح Container
هناك العديد من الادوات المجانيه والغير مجانيه وحتى ان بعضها يأتى مجانا مع ال Container Platform or with Firewall كاضافه لعمل Scan for Image and Container للتاكد من خلوه من اى Vuln
- Tracing and logs trace and Audit, Logs كل هذة النقطات هى اننا نحتاج الى Solution لمتابعه كل ما يحدث داخل وخارج ال Containerولا ال Container يختلف عن التكنولوجيات الاخرى وله طبيعه خاصه فى العمل وانه لو حدث فيه مثل مشكله او Attack فانه ممكن ان يتوقف ويتم مسحه وعمل مكانه Container اخر بشكل اتوماتيك لكن هناك مشكله فى هذه الطريقه انه لو لدينا Logs لل Application الذى يعمل داخل Container سوف نخسره عندما يتوقف ال Container
لذلك نحن نحتاج حل لهذا الموضوع انه خلال عمل اى Container فانه يرسل كل ال Logs لتطبيقات خارجيه متخصصه فى هذا المجال لكى يساعدنا فى حل المشاكل ومعرفه لماذا توقف تطبيق معين
- Access Control and Permission يمكن البعض يتصور ان هذة الموضوع بسيط وسهل فى اى Solution ويمكن لاى شركه عمله لكن فى حال Container كانت هناك مشكله لان بطبيعه ال Container انه يعمل ب Root privilege
لذلك كان هناك مشكله كيف اقوم بعمل Control على هذا الموضوع
وتم حل هذة المشكله يعتبر مع اى Container Platform اصبح لديهم full access control لكل مستخدم وله صلاحيات على بعض ال Container بصلاحيات معينه وب Resource معينه ويمكن عمل Integration with AD or LDAP
واخر نقطه وهى ال Antivirus يمكن حتى الان لا يوجد Antivirus خاص بال Container لكى يتعامل معه بالشكل الامثل – كانت شركه TrendMicro اخبرونى فى احد المؤتمرات انهم يعملون على منتج خاص بال Container لكنى لو اشاهدة فى الحقيقه حتى الان –
ملحوظه : اى Antivirus سوف يتم تشتغيله يجب ان يكون من نوع ال Agentless لكن يستطيع التعامل مع السرعه ولا يؤثر على الاداء الخاص بال Container
بالطبع لعالم ال Security جوانب كثيرة وايضا لل Container نقاط ضعف معروفه وغير معروفه ونحن مازلنا فى اى الطريق فى مجال ال Security for Container ومازال امامنا خطوات كثيرة فى هذا المجال وبصفه عامه المجال لم يظهر الا خلال الثلاث اعوام الماضيه – لكن الاهم هو انه يتطور بسرعه عاليه جدا وهناك حلول لكل شئ وبتطور بشكل مرعب لتواكب الاحتياجات – قضينا اكتر من 10 سنوات مع ال Virtualization لنصل لجزء من قوى هذة ال Security الموجودة فى ال Container
ملحوظه : تعتبر احتياجات ال Security مختلفه من شركه لاخرى فيمكن للبعض ان يستخدم اداة او اكثر او لا يستخدم اى اداه من الاساس لعمل Security فى تعتمد على الاحتياج وليس جزء اجبارى من اى مشروع لل Container Technology
ان شاء الله سوف نحول هذا المقال الى فيديو لانه هناك تفاصيل كثيرة اريد ان اتكلم عنها وتعبت صراحه من الكتابه
وبالتوفيق للجميع