Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Een slot op je container…

06 december 2016 - 13:513 minuten leestijdOpinieCloud & Infrastructuur
Dimitri Tzoumas
Dimitri Tzoumas

Containerisatie doorloopt deels hetzelfde traject als virtualisatie. Dat houdt onder meer in dat er veel 'fud' de wereld ingeslingerd wordt, waaronder het gegeven dat de beveiliging van (Docker-)containers een groot probleem is. Vooral niet gebruiken in productie-omgevingen, luidt vaak het devies.

Hoe je het ook wendt of keert, een Docker-omgeving voegt een extra laag toe aan je infrastructuur en dus ook aan je security. Hoe de beveiligingsmaatregelen eruit moeten zien, hangt af van wie je vraagt om dit in te richten. Vergelijk het met de beveiliging van je huis. Als je de brandweer uitnodigt, gaan ze je vertellen rookmelders op te hangen en alle ramen en deuren vrij te houden om snel het pand te kunnen verlaten. De volgende dag heb je de politie op bezoek en zij adviseren je om extra sloten aan te brengen en desnoods tralies. Daar zijn de spuitgasten dan vervolgens weer niet blij mee.

In mijn ogen hoeft de beveiliging van een container niet heel complex te worden. Een goed patchbeleid voor de processen die in je container draaien in combinatie met een solide beveiliging van je onderlaag, of dat nu een vps is of bare metal, brengen je een heel eind. Daarnaast vind ik deze tips heel nuttig (met dank aan Amir Jerbi):

  • Gebruik de meest recente versie van het image;
  • Gebruik waar mogelijk ‘trusted’ images;
  • Scan de images op kwestbaarheden;
  • Draai de containers binnen een vm als je twijfels hebt over de isolatie van de resources;
  • Draai Docker Bench om je ervan te verzekeren dat je voldoet aan de security best practices voor de host.

Afweging

Het is geen geheim dat een container een veelzijdig ecosysteem biedt waarmee portabiliteit een nieuwe fase ingaat, hetgeen opweegt tegen eventueel aanvullende beveiligingsmaatregelen. De brede adoptie van het fenomeen blijkt uit het feit dat onze hosting-klanten al volledige otap-straten hebben ingericht met containers. Dat gebeurt overigens vaak in combinatie met virtual private servers (vps), wat de flexibiliteit en de beschikbaarheid van de toepassing verder verhoogt.

Dat Microsoft eerder dit jaar Docker wilde kopen (volgens anonieme bronnen op sdx Central) en het de containers nu aanbiedt binnen Windows Server 2016, vormt ook een teken aan de wand. Binnen Amazon Cloud Services is het sinds kort mogelijk om Docker Container Images te downloaden om in de eigen private cloud nieuwe AWS-diensten te ontwikkelen. En deze dan weer te uploaden voor gebruik in de publieke cloud, uiteraard.

Tegen het licht van microservices en DevOps bieden containers ook duidelijk een toegevoegde waarde. De accumulatie van service oriented architecture, virtualisatie, cloud computing en DevOps maakten al eerder de weg vrij om af te stappen van monolithisch applicatieontwerp. Containers vormen de ontbrekende schakel voor realisatie van microservices.

De huidige discussies over de veiligheid van containers zullen het dan ook niet winnen van het gemak en de voordelen van de technologie. Tien jaar geleden hadden we dezelfde gesprekken over virtualisatie en cloud. En we weten allemaal hoe dat afgelopen is…

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Meer lezen

    big tech
    ActueelOverheid

    Na ingreep Microsoft bij ICC: kabinet waarschuwt voor afhankelijkheid Amerikaanse tech

    Europese Unie
    AchtergrondData & AI

    Wake-up call voor inkopers ai

    Vrouwe Justitia
    ActueelCloud & Infrastructuur

    VMware haalt bakzeil bij Haagse rechter om Rijkswaterstaat

    ActueelInnovatie & Transformatie

    Groningse doorbraak bij 3d-printtechniek voor robotjes

    Ontslagen
    ActueelCarrière

    ASML ontslaat it-manager om dubbelrol, IFS brengt ai-agent naar fabrieksvloer (en meer)

    AchtergrondCloud & Infrastructuur

    Overname E-Storage is voor PQR strategische zet in bescherming klantdata

    7 reacties op “Een slot op je container…”

    1. dino schreef:
      8 december 2016 om 07:23

      Van monolitische landschappen naar straten vol containers. Dockers die beveiliging bieden, maar zelf zelf weer kunnen draaien binnen untrusted images die steeds wijzigen, ergens gedownload, die je continu moet scannen op kwetsbaarheden..
      Begin maar want veiligheidsdiscussies verliezen het altijd van het “gemak en de voordelen van de technologie”. Bovendien … Microsoft wilde het kopen.
      Nu zijn we overtuigd.

      Login om te reageren
    2. Koos Werkeloos schreef:
      9 december 2016 om 07:57

      Dit advies betekent vrij duidelijk dat “docker” geen complete “containerisatie”-oplossing is, zijn werk dus maar half doet: Je moet de container containeriseren wil’ie bruikbaar worden.

      Datzelfde beeld zie je terug als je dieper de materie induikt en ziet dat docker zelf de mogelijkheid biedt om vanuit de container op de host administratieve dingen te doen en dat als feature ziet, of dat de docker software niet heel compatible met andere versies van zichzelf is, of dat de software aanneemt dat de docker images stateless zijn en dat je dus niet moet proberen er databases in te draaien, en zo verder.

      Dat maakt de techniek toch een stuk beperkter dan wat je zou denken als je de terminologie zo bekijkt. Het is dan ook een erg leuk speeltje voor webdevs, maar toch wat minder nuttig voor algemeen productiegebruik. Ondanks dat het onderliggende idee niet onaardig is. Deze implementatie is gewoon niet af.

      Login om te reageren
    3. Technicus schreef:
      9 december 2016 om 09:27

      Eigenlijk wordt in de 2 reacties gelijk al de FUD aangetoond waar het stukje over begint.

      @Dino: Je gooit een hoop terminologie door elkaar zonder je kennelijk te hebben ingelezen. In dit geval kan ik zeggen dat je incognito naam hier goed gekozen is. Volgens mij is ondertussen je token van je ring afgevallen en zou ik hem ergens op de grond gaan zoeken. 🙂

      @Koos Werkeloos: Vms != Containers en Containers != Vms. In jouw geval denk ik dat beeldspraak en analogieën de klaarblijkelijke verwarring veroorzaakt hebben. Er is een container tov het besturingssysteem, maar er is geen container tov de buitenwereld.
      Je kan ook geen Windows docker image op een Linux docker server draaien en vice versa ook niet.

      @Dimitri: Ik denk dat veiligheid in discussies over de toepassingen van containers meer een dwaalspoor zijn. Netwerk en veiligheid moeten op orde zijn, voordat men überhaupt Docker achtige oplossingen wil overwegen.

      Login om te reageren
    4. Koos Werkeloos schreef:
      9 december 2016 om 10:12

      Technicus, het maakt nauwlijks uit wat jij en ik ervan vinden. Het zijn de mensen die de beslissingen nemen om het al dan niet in te zetten waar het om gaat. En die gaan al te vaak op dat soort beeldspraak af. Je kan dat dus niet wegwimpelen, het heeft invloed.

      Ik hoef niet eens gedetailleerde technische kennis van docker te hebben om dit te zien. Je kan zelfs niet eerlijk zeggen dat dit opmerken “FUD” betreft want het beslisproces, FWIW, werkt al te vaak echt zo. Dat betekent dat wil een technologie robuust zijn, dan moet de geassocieerde beeldspraak ook kloppen voor de uiteindelijke gebruikers. En dat is gewoon een zwak punt voor docker.

      Dit nog naast dat docker wat zwakke punten kent ook binnen het model waarin het zichzelf definieert. Wat dus niet hetzelfde model is als het model dat de buitenwereld denkt dat docker naleeft.

      Login om te reageren
    5. Technicus schreef:
      9 december 2016 om 11:44

      Wat betreft beslissingen worden er inderdaad genoeg slechte genomen. Vaak wordt er te veel met ‘hypes’ meegelopen. Zo las ik laatst nog een leuk stuk over “Manie gedreven ontwikkelaars”:

      https://blog.daftcode.pl/hype-driven-development-3469fc2e9b22#.43j854k5f

      Maar ook wordt er roofbouw gepleegd op de kennis van werknemers; geen budget voor opleiding, geen budget voor opleiding, geen budget voor opleiding, je kennis is te achterhaald; opzouten. En daar sta je dan, maar goed, je bent er zelf ook bij om dat eventueel nog te kunnen bijsturen zolang dat mogelijk is.

      Login om te reageren
    6. dino schreef:
      9 december 2016 om 13:11

      prachtig, “het maakt nauwelijks uit wat jij en ik er van vinden”.
      en “ik hoef niet eens gedailleerde technische kennis te hebben om dit te zien”
      Op zichzelf al mooi maar samen briljant. Ongekende mogelijkheden.
      Ja, nostalgie. Vroeger was alles zo mooi. Sitting on the dock of the bay.. Otis Redding.
      “Het is geen geheim dat een container een veelzijdig ecosysteem biedt waarmee portabiliteit een nieuwe fase ingaat, hetgeen opweegt tegen eventueel aanvullende beveiligingsmaatregelen”
      Ik moet toegeven. Die is ook fijn.

      Login om te reageren
    7. Dimitri Tzoumas schreef:
      13 december 2016 om 15:51

      Allereerst iedereen bedankt voor de input. De dockerisatie-FUD roept veel herinneringen op aan servervirtualisatie. De discussie ging toen ook over de gevaren van virtualisatie, maar het gemak en het gezond verstand hebben uiteindelijk gewonnen.

      Het is zeker waar dat het verminderen van administratieve handelingen en gebruikersgemak te vaak winnen van beveiliging. Natuurlijk zijn er dingen zoals Role-based access control om de beveiliging te verbeteren en te verfijnen, maar in een kleine organisatie is de applicatie-beheerder ook de OS-beheerder en de database-beheerder. Wanneer deze de veiligheid in zijn gemakshandelingen meeneemt levert dat alweer één winnaar meer op.

      Overigens kan ik voor het gebruik van untrusted Docker images maar één ding zeggen… Eigen schuld dikke bult. Die verantwoordelijkheid ligt toch echt bij de beheerder die een illegale versie van …zelf invullen… gebruikt. Geef niet direct de applicatielaag de beschuldigende vinger.

      Tot slot zegt Technicus een waar woord als hij stelt: “Netwerk en veiligheid moeten op orde zijn, voordat men überhaupt Dockerachtige oplossingen wil overwegen.”

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Computable Insights

    Een ai-agent die klantvragen afhandelt. Dat is een van de nieuwste troeven van softwareproducent Salesforce, dat daarmee meesurft op de...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs