Wat zijn Cloud Containers en hoe zit het met de Security?

In dit tweede deel over Cloud Security gaan we in op het begrip containers, het nieuwe buzzwoord in IT-landschap. Containers zijn de nieuwste ontwikkeling én de toekomst. Maar wat zijn containers, wat is het verschil tussen een container en een VM, waarom zou u ermee werken en misschien wel de belangrijkste vraag, hoe gebruikt u containers op een veilige manier?

Wat is een container?

Een applicatie bevat meerdere processen, maar deze kunnen uit elkaar getrokken worden. Een container is een kleine unit die een bepaald proces van een applicatie bevat. Alle containers samen vormen een geheel; de applicatie. Een container kan op verschillende manieren gedraaid worden, op een server, op een VM of in de cloud.

Dankzij het fragmentarische aspect van containers is het gebruik ervan:

  • Schaalbaar: containers zijn inzetbaar om automatisch te up- en downscalen, dankzij container managementsoftware zoals Kubernetes
  • Sneller en makkelijker, nieuwere softwarereleases zijn eenvoudiger om te implementeren
  • Makkelijk uitwisselbaar, een container functioneert altijd hetzelfde, ongeacht de omgeving

Cloud Native of Traditional?

Containers zijn een goed voorbeeld van een cloud native oplossing. In tegenstelling tot traditionele applicaties, die op een statische manier werken, zijn containers stateless. In traditionele applicaties stuurt de load balancer een gebruiker naar een bepaalde server. Maar bent u bijvoorbeeld online aan het winkelen en crasht de server waarop uw winkelmandje stond? Dan bent u al uw artikelen kwijt, want de andere server waar u naartoe gestuurd wordt, hervat uw sessie niet.

Dankzij de stateless manier van werken, zou u dit bij een cloud native applicatie, of een container, niet gebeuren. De load balancer stuurt u in dit geval naar een stateless container. Als deze container crasht wordt u automatisch naar een andere, shared state, container gestuurd, die uw sessie exact hervat.

Waarom containers?

De voordelen van containers zijn eigenlijk allemaal samen te vatten onder de noemer automation = innovation:

Snel te wijzigen

Voor het gemak kunnen we een container vergelijken met een taartrecept. De verschillende lagen van de taart en de stappen om tot het eindresultaat te komen zijn bekend. Bevalt het recept niet en is het eindresultaat niet gewenst? Door het aanpassen van een (taart)laag wordt ook het resultaat anders. Zo zijn containers makkelijk aan te passen en te finetunen naar uw precieze voorkeur.

Efficiënt updaten

Containers zijn slim. Als u ze goed programmeert kunnen ze zichzelf automatisch updaten. Dit proces is eenvoudiger dan bij VM’s. Geen handmatige updates meer, deze automation bespaart u een hoop tijd.

Containers worden geupdated in een rolling update, hierdoor kunt u updaten zonder down-time. Daarnaast zijn ze een goede mogelijkheid om nieuwe features op een beperkte groep te testen en zo het risico op problemen te verminderen.

Makkelijk schaalbaar

Containers, ondersteunt door een containermanagementplatform, zijn de ideale tool om mee te kunnen schalen. Ze zijn cloud native en kunnen zo gebruikt worden dat als er één ‘vol’ is, er automatisch naar een andere, identieke, container geschakeld wordt. Deze extra containers worden automatisch aangemaakt op basis van capaciteitsbehoeften. U hoeft dus niet te wachten. Vooral bij piekmomenten is het een voordeel om met containers te werken.

Container Security

De voordelen van het gebruik van containers zijn groot. Het beveiligingsaspect was tot nu toe alleen nog het grote vraagstuk, traditionele firewalls kunnen niet toegepast worden.

Next Generation Firewall vs Container Firewall

Waarom Next Generation firewalls niet toepasbaar zijn bij het gebruik van containers?

Containers zijn cloud native, en dus stateless. Ook container security moet stateless zijn om te kunnen voorzien in veilig containergebruik. Daarnaast praten ze onderling met elkaar en is north-west beveiliging niet voldoende.  Op onderstaande punten verschilt container security van traditionale firewall security:

Next Generation Firewall Container Firewall
Functions
Application Inspection in layer 7 Cloud Native
Threat detection d.m.v. IDS/IPS Layer 7 Inspection/Isolation
User Identity Policies Declarative, automated policy
Manual blacklist policies Whitelist based
Internal threat protection Scale up/down
Internal threat protection
Deployment
Gateway/Edge Host
North-south visibility East-west + north-south visibility
Container ingress and egress
Integration
SIEM Container engine (Docker)
Orchestration (Kubernetes)
CI/CD Pipeline
SIEM

Container security van NeuVector

Heeft u interesse in containers, maar vraagt u zicht af hoe u de beveiliging moet regelen?

NeuVector is een nieuwe speler op de IT-security markt . Zij bieden runtime security voor containers en inventariseren en visualiseren de onderlinge (east-west) containercommunicatie, zodat hier firewallregels op afgedwongen kunnen worden. NeuVector detecteert threats zoals DDos, DNS en Persistent Attacks.

Lees meer over NeuVector »