Контейнерная среда (containerized environment) — виртуальное окружение, которое обеспечивает запуск и работу приложений в изолированных пространствах, называемых контейнерами. Идея контейнерного подхода заключается в том, что приложение упаковывается в специальный пакет вместе со всеми зависимостями (например, библиотеками и конфигурационными файлами) и максимально изолируется от операционной системы и других процессов, что позволяет легко и безопасно запускать его в разных инфраструктурах. Пакет, который содержит все необходимое для запуска контейнера, называется образом контейнера.
Благодаря тому что содержимое контейнера изолировано и не зависит от конфигурации системы и устройства, контейнер способен работать в любой среде и под управлением любой ОС. Этот принцип называют Write Once, Run Anywhere («написал один раз — запускай где угодно»). Контейнерный подход сокращает время и расходы на разработку и тестирование программ, повышает отказоустойчивость и защищенность системы (так как сбой или уязвимость в одном контейнере не влияет на остальные).
Главное отличие контейнерных сред от виртуальных машин (ВМ) заключается в механизме изоляции. ВМ эмулирует аппаратное обеспечение и запускает полноценную гостевую ОС, в которой может выполнять приложения. Контейнер использует ядро операционной системы, в которой он запущен (хоста), но изолируется логически с помощью механизмов ядра (например, пространств имен (namespaces) и контрольных групп (cgroups) в случае Linux). Это делает контейнеры более легковесными: они быстрее запускаются и потребляют меньше ресурсов.
Управление контейнерными средами
Для управления контейнерными средами используются специализированные инструменты.
- Среды выполнения (container runtime) — программы, отвечающие за запуск контейнеров и управление их жизненным циклом. Среды выполнения можно разделить на два типа:
- Низкоуровневые — среды, которые отвечают исключительно за запуск контейнеров. К таким относятся, например, runc или lxc.
- Высокоуровневые — среды, которые позволяют управлять контейнерами, такие как Docker и containerd.
- Оркестраторы — программы, которые управляют кластерами контейнеров: автоматически развертывают и масштабируют их, а также контролируют выделяемые для них мощности на физическом устройстве или в облаке. Пример оркестратора — Kubernetes.
Безопасность контейнерных сред
Можно выделить несколько ключевых угроз, связанных с контейнерами.
- Побег из контейнера. Эксплуатация уязвимостей в ОС или среде выполнения, а также некорректных настроек прав доступа может позволить злоумышленнику выйти за пределы изолированной среды и получить контроль над хостом или другими контейнерами.
- Атака на цепочку поставок — компрометация готовых образов в публичных реестрах (например, Docker Hub). Запуск таких образов может привести к заражению инфраструктуры.
- Эксплуатация оркестратора. Уязвимости и ошибки в конфигурации систем управления (например, открытые API-интерфейсы или избыточные привилегии контейнеров) могут стать точкой входа для атакующих.
Для защиты контейнерных сред применяется подход DevSecOps, который включает в себя использование минимизированных (не содержащих ничего лишнего) и доверенных образов, их своевременное обновление и автоматическое сканирование на этапе сборки, ограничение привилегий процессов и сегментацию сетевого трафика внутри кластера.