Open Source im professionellen Einsatz
Linux-Magazin 06/2016
© John-Francis Bourke, 123RF

© John-Francis Bourke, 123RF

Containertechnologie und Arbeitsorganisation

Neu verteilte Rollen

Devops und Container tauchen oft gemeinsam auf. Hat man das eine, kommt das andere automatisch dazu. Aber ganz so einfach ist es nicht, wie das folgende Plädoyer für Vernunft zeigt.

659

Docker [1] hat nachhaltigen Einfluss auf die jüngere Informationstechnologie, das steht außer Frage, und es finden sich auch ausreichend viele Erfolgsgeschichten. So entsteht der Eindruck, dass die Einführung und der Betrieb eine einfache Sache sei. Dieser Artikel möchte zeigen, dass dem nicht so ist.

Alter Wein in neuen Schläuchen?

Es gibt mehrere Möglichkeiten, Container zu beschreiben: Für die einen ist es eine neue, zusätzliche Form der Virtualisierung, also eine natürliche Fortsetzung von KVM [2], Xen [3], VMware [4], Hyper-V [5] oder des Zonen-Konzepts in Solaris [6]. Für andere sind Container die Nachfolger der Laufzeitumgebung in Java [7].

Manche sehen in der Technologie ein neues Paketierungsformat für Applikationen. Damit sind Container so etwas wie eine aufgebohrte Version von Deb [8], RPM [9] oder gar Tar-Archiven [10]. Eine andere Sichtweise ordnet die Technologie einfach als eine Reihe von zusätzlichen Prozessen und Konfigurationen ein, die eine geschicktere Ressourcenverwaltung erlauben. Wer erfolgreich virtualisiert hat, kann jedenfalls scheinbar einfach mit Containerisierung weitermachen. Neben Apt [11], Yum/Dnf ([12], [13]) kommen nun eben noch Docker [14] oder RKT [15] dazu.

Tatsächlich funktioniert es aber doch nicht ganz so, und der Teufel steckt nicht nur im Detail. Drei große Themen tauchen immer wieder als Herausforderungen auf: die IT-Sicherheit, der Betrieb und die Menschen dahinter.

Sicherheit

Die Sicherheit in der Containerwelt ist zum gegenwärtigen Zeitpunkt gleich mit einer Reihe von Fragezeichen zu versehen. Typische Fragen des IT-Sicherheitsbeauftragten sind: Wo sind die Containerabbilder gespeichert? Wie sind sie gegen Manipulation geschützt? Wie lassen sich Sicherheitslücken erkennen und wie schließt man sie? Wie sichert man sensitive Daten davor, ausspioniert oder unerwünscht verändert zu werden? Wie steht es um die Mandantenfähigkeit? Welche Vorkehrungen sichern die Laufzeitumgebung ab?

Das Auflisten der Fragen ließe sich nahezu beliebig fortsetzen. Fast immer zeigt die Suche nach den Antworten, dass die Containertechnologie eben doch noch recht frisch ist. Auf manche der Fragen haben junge Projekte eine Antwort, manchmal gibt es Ideen oder Diskussionen – leider fehlt aber auch oft eine befriedigende Lösung.

Angestammte Virtualisierer sind da in einer deutlich besseren Position. Bei ihnen lassen sich viele Prozesse aus der physikalischen Welt übertragen. So kann man bei ihnen die Software scannen, um Sicherheitslöcher zu finden und zu schließen, es gibt ein Patchmanagement und die Laufzeitumgebung lässt sich absichern. Legt man bei der konventionellen Virtualisierung Abbilder ab, dann sind erprobte Konzept für die sichere Datenverwaltung benutzbar.

Dagegen kennen verschiedene Industriestandards wie PCI-DSS (Payment Card Industry – Data Security Standard, [16]), SSA-16 (Standards for Attestation Engagements No. 16, [17]) oder ISO-27001 [18] die Containertechnologie nicht. Es fehlen daher Hinweise und Richtlinien für die Sicherheit von Docker & Co., wie sie in anderen Bereichen der Informationstechnologie üblich sind.

Das fordert sowohl die IT-Verantwortlichen als auch die Auditoren heraus. Das Resultat sind oft Insellösungen für die jeweilige Containerlandschaft. Die Macher sind gezwungen, das Rad neu zu erfinden. Ein gutes Beispiel ist das Aufspüren von Sicherheitslücken in Containerabbildern. Erst seit dem Herbst 2015 gibt es hier entsprechende Projekte (Clair [19], Nautilus [20], Abbildung 1).

Abbildung 1: Projekte wie Clair oder Nautilus schließen großen Lücken in der Containerwelt.

Wer Linux-Container schon vorher sicher betreiben wollte, musste sich selbst etwas ausdenken. Zudem stellt sich die Frage, wie aufwändig und komplex eine Migration von der Heim- auf die Community-Lösung ist.

Ein analoges Beispiel ist das Signieren von Abbildern [21]. In der Docker-Welt gibt es das ebenfalls erst seit 2015 mit Notary [22]. Für manchen Container-Sicherheitsexperten kommt dieses Projekt spät, wenn nicht zu spät. Auf der Rocket-Seite (15, 21) ist man schon etwas länger vorbereitet. Doch ist der verwendete Mechanismus ein anderer als bei Docker und nicht kompatibel. Das erleichtert es nicht, Abbilder zu signieren.

Welches Format setzt sich durch? Wohin soll man migrieren und wann? Hilft die Open Container Initiative [23] oder verlangsamt sie nur? Das Thema Sicherheit im Container-Universum ist nicht zu unterschätzen – insbesondere im produktiven Betrieb (Abbildung 2).

Abbildung 2: Nicht weniger als vier Projekte buhlen um die Vorherrschaft bei der Container-Orchestrierung.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 3 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • RDBMS-Container

    Wer sowieso viele Dienste in Containern konfektioniert von Server zu Server schiebt, fragt sich, warum nicht auch Datenbanken. Der Artikel schildert den Status quo für RDBMS-Container.

  • Container

    Mit der Freigabe der Version 1.0 erreicht das Docker-Projekt einen wichtigen Umschlagplatz. Neben der Enterprise-Reife und technischen Verbesserungen steht jetzt auch die Unterstützung durch große Firmen in den Frachtpapieren. Mit im Boot ist Red Hat.

  • PaaS-Plattform Deis

    Deis kombiniert Docker und Core OS, um daraus eine Platform-as-a-Service-Basis (PaaS) zu bauen. Seit November 2014 gibt es eine Version 1.0 der Software, ihre Entwickler bezeichnen sie als "produktionsreif". Das wirft die Frage auf, ob Deis ein hippes Windei ist oder Substanz hat.

  • Docker: Vom Container zum Kernel

    Docker kauft das englische Startup Unikernel Systems und will den Workflow seiner Container auf kundenspezifische Kernel übertragen.

  • Docker-Version 1.0 mit eigenen IANA-Ports

    Nach etwa 15 Monaten intensiver Entwicklung ist Docker in Version 1.0 erschienen. Die Entwickler halten die Software nun für stabil genug, um in den Unternehmenseinsatz zu gehen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.