Archivi categoria: Container

Container vs. VM: qual è il piu sicuro?

I container sono davvero meno sicuri di una VM? James Bottomley, ingegnere di IBM Research e sviluppatore del kernel Linux, ha fatto notare come non esistesse di fatto un metodo standard per misurare il livello di sicurezza di ciascuna tecnologia, riducendo tutto il dibattito a una questione di “sensazioni” da parte dell’utente: Hypervisors ‘feel’ more secure than containers because of the interface breadth. Gli hypervisor “sembrano” più sicuri rispetto ai container per l’ampiezza (in termini di user experience, nda) dell’interfaccia. Basarsi sulle “sensazioni” per definire un qualcosa come sicuro o meno non è sicuramente il modo giusto per effettuare un paragone scientifico ed imparziale. Prima di tutto, Bottomley è partito col definire un Vertical Code Attack Profile (VAP), ovvero tutto il codice che viene attraversato per erogare un servizio. Come tutti i software, il codice contiene dei bug più o meno importanti. Ovviamente, più codice si attraversa, maggiori sono i rischi di trovare falle nella sicurezza. Nella seconda fase di questa ricerca, è stato creato un Horizotal Attack Profile (HAP) per misurare di fatto quante righe di codice vengono effettivamente utilizzate per una data applicazione. A questo punto sono stati lanciati dei benchmark standard: redis-benchmark, che simula l’esecuzione di comandi effettuata [...]

Container Security: tante dashboard esposte su internet

L’uso dei container è esploso negli ultimi anni, noi stessi abbiamo trattato dell’argomento diverse volte. Indubbiamente sono comodi: la possibilitá di testare rapidamente software senza preoccuparsi di installare le dipendenze sull’host, come anche la capacità di scalare e/o essere spostati da un sistema (o un OS) all’altro, rendono il deployment rapido e senza pensieri. Tutta questa rapidità e comodità, però, sta portando molti utenti ad un utilizzo poco responsabile degli stessi; già, perché prima, lavorando direttamente sul proprio sistema, forse si tendeva ad essere più attenti a quello che si andava a fare, ai servizi che si esponevano, alle porte che si aprivano. La natura di “scatola chiusa” dei container porta, evidentemente, gli utenti meno attenti a pensare di avere tutto sotto controllo, ma è giusto tenere sempre a mente che i container non sono altro che processi in esecuzione sul proprio sistema e come tali vanno trattati. Proprio in questi giorni uno studio effettuato da Lacework, azienda che si occupa di sicurezza sul cloud, ha portato alla luce che più di 21000 sistemi di orchestrazione ed API di container sono pubblicamente esposte su internet. Certo, seppur “solo” circa 300 di questi siano accessibili senza autenticazione, lasciando totale libertà agli [...]

DockerHub: trovati i primi container contaminati

Docker è sulla cresta dell’onda da tanto tempo, troppo tempo perchè passasse inosservato. E, prima o poi, doveva succedere: sono state rilevate le prime immagini di container contaminate, da software di crypto-mining, direttamente sul Docker Hub, il registry ufficiale e pubblico di Docker. Il registry è un componente fondamentale in un’infrastruttura a container; è il componente da cui Docker (o sistemi che utilizzano Docker come base, ad esempio Kubernetes) scarica delle immagini di container che poi esegue sull’host; una volta fatta la build dell’immagine più o meno specializzata è possibile caricarla su un registry, che può essere privato o pubblico (come nel caso di Docker Hub) così che uno o più altri host possano utilizzare quell’immagine senza doverla rigenerare ex-novo. Due società che si occupano di sicurezza, Fortinet e Kromtech, in questi giorni hanno pubblicato due articoli in cui rivelano che ben 17 immagini di container Docker avevano al loro interno dei miner di cryptovalute che, all’insaputa degli utenti, utilizzano le risorse delle macchine su cui questi container venivano lanciati per generare una BotNet sufficientemente ampia da trovare qualche cryptovaluta. Queste immagini, considerate sicure, sono state scaricate ben 5 milioni di volte prima che venissero identificate e rimosse, e sfruttavano [...]

Red Hat annuncia rinnovate partnership con IBM e Microsoft. L’obiettivo? Container e cloud ibridi!

Sono molte, moltissime le notizie e le novità che emergono dal Red Hat Summit che si sta svolgendo a San Francisco. Abbiamo già trattato di Storage One, ed oggi ecco arrivare notizie del rinnovo di due delle più importanti collaborazioni fissate da Red Hat negli anni: quella con IBM e quella con Microsoft. Red Hat e IBM hanno annunciato l’espansione della propria partnership con l’obiettivo di accelerare l’adozione di ambienti cloud ibridi. Il tutto riassunto dalle parole di Paul Cormier (president, Products and Technologies di Red Hat): By extending our long-standing collaboration with IBM, we’re bringing together two leading enterprise application platforms in Red Hat OpenShift Container Platform and IBM Cloud Private and adding the power of IBM’s software and cloud solutions. Estendendo la nostra duratura collaborazione con IBM stiamo mettendo insieme le due principali piattaforme per applicazioni enterprise del mercato Red Hat OpenShift Container Platform ed IBM  Cloud Private, aggiungendo la potenza dei software e delle soluzioni cloud IBM Ma non è tutto. L’altra grande notizia di Red Hat riguarda l’ulteriore annuncio di una rinnovata e più stretta collaborazione con Microsoft per lo sviluppo del primo servizio Red Hat OpenShift gestito congiuntamente su un cloud pubblico, nella sostanza la [...]

Container… Container ovunque! Cisco, Linbit e CoreOS presentano tante novità relative a Kubernetes

Messaggio a tutti i reticenti nell’accettare il fatto che Kubernetes (e i container) siano la tecnologia del momento: questo trend non è destinato a scomparire a breve. Basta scorrere le notizie quotidiane in ambito informatico e ci si imbatte in qualche nuovo annuncio, prodotto o strategia che aziende del settore propongono ed incentrano sui container e su Kubernetes. Partiamo da Cisco, che ha introdotto il supporto a Kubernetes all’interno dei suoi prodotti AppDynamics e Cisco CloudCenter, il fine ultimo è incrementare le capacità di scaling, la sofisticatezza e la velocità nell’effettuare il deploy di applicazioni mediante il famoso orchestrator di container, il tutto garantendo il supporto a topologie di applicazioni ibride e la semplificazione dell’accesso da parte di utenti senza esperienza in Kubernetes. C’è poi Linbit, l’azienda produttrice della tecnologia DRBD, che con il prodotto LINSTOR si propone come riferimento per storage di tipo container-native. Affidandosi a DRBD per la replica dei dati, LINSTOR si pone come strato di gestione (provisioning) di storage in ambito container. La soluzione verrà presentata in uno showcase all’interno del Red Hat Summit. Infine ecco arrivare da CoreOS l’Operator Framework! Un ambiente che vuole semplificare la gestione degli operator ossia metodi di packaging, deploying e [...]

Titus: il manager di container opensource in salsa Netflix

Netflix non è nuova al rilascio in open source di software che ha sviluppato ad uso interno. E si vede dalla sua pagina di GitHub: da tool per interrogare sistemi di Big Data a software di build e delivery, passando da encoder fino alla cattura ed analisi delle metriche, per molte cose la filosofia dell’azienda di Los Gatos è sempre stato “aperto è meglio“.

Recentemente ha rilasciato in open source Titus, il software di gestione dei container che utilizzano internamente. Ma perchè svilupparne uno in casa invece di utilizzare i più conosciuti Kubernetes, Mesosphere DC/OS o Amazon ECS? Beh, diciamo che Netflix utilizza i container da più tempo rispetto al boom di questi prodotti ed il loro carico di lavoro è estremamente alto e settorializzato, al punto che non solo hanno preferito sviluppare internamente una tecnologia che si adattasse al 100% alle loro necessità, ma collaborando con altre aziende a cui si appoggiano, come ad esempio Amazon, hanno fatto si di far evolvere le tecnologie di quelle aziende al punto da generare interi nuovi prodotti che ora offrono ai loro clienti (mai sentito parlare della feature di “IP target groups for Application Load Balancer” fornita da Amazon AWS? Beh, è stata sviluppata a 4 mani con Netflix per risolvere problemi di quest’ultima). read more

OpenContainerInitiative: finalmente uno standard per la trasmissione di immagini dei container

Due anni fa parlavamo della nascita della Open Container Initiative sotto il controllo della Linux Foundation. Con l’esplosione dell’uso dei container, e delle tecnologie in grado di gestirli, definire uno standard ufficiale ed aperto per la creazione, l’esecuzione e la trasmissione delle immagini dei container è diventato fondamentale.

E, finalmente, si inizia ad arrivare a qualcosa di completo: già in passato il formato delle immagini ed i runtime sono stati standardizzati dalla OCI, che l’anno scorso ha raggiunto una maturità con il rilascio della versione 1.0; in questi giorni il lancio del progetto Distribution Specification ha definito lo standard anche per il push e pull delle immagini (le operazioni utilizzate per caricare e scaricare le immagini da un registro), andando così a coprire (quasi) tutto il mondo container: come viene creato, come viene eseguito e come viene trasmesso. read more

Secondo ZDNet i container sono sanissimi, quanto a Docker (l’azienda)…

Nell’aprile dello scorso anno abbiamo parlato di come Docker avesse deciso di scindere il suo prodotto OpenSource dalla sua controparte commerciale, creando il Moby Project. La mossa era chiaramente volta a separare l’aspetto tecnologico dal lato business ed in termini di chiarezza fu sicuramente una scelta condivisibile.

Ebbene, un anno dopo come sta l’azienda Docker? Secondo ZDNet non molto bene, poiché manca di un business plan. read more