InfrastrukturaCyberbezpieczeństwoProgramowanie
Czym jest Kubernetes, jak zmienia architekturę systemów IT i jak go chronić?
Jednym z coraz popularniejszych tematów w branży IT są systemy kontenerowe, a w szczególności Kubernetes. Raport VMware na temat Kubernetes za rok 2021 pokazuje, że z jednej strony platforma ta jest coraz chętniej wykorzystywana, choć z drugiej brak jest jednak specjalistycznej wiedzy na jej temat, a sama platforma często pozbawiona jest niezbędnych zabezpieczeń. To dobry powód, aby przyjrzeć się bliżej ważnym kwestiom związanym z Kubernetes – szczególnie z perspektywy ochrony danych.
W sieciach wielu korporacji i firm kontenery albo jeszcze nie są obecne, albo dopiero od niedawna. Nie były one częścią tradycyjnych struktur sieciowych opartych na centrach przetwarzania danych. Nie są one także integralną częścią nowoczesnych środowisk wielochmurowych czy rozwiązań hybrydowych – jednak bardzo dobrze się w nie wpasowują. Podobnie było z wirtualizacją: ona również rozpoczęła się jako trend, który nie każda firma musiała przyjąć. Jednak 20 lat później wydaje się, że duża część firm zwirtualizowała znaczną liczbę obciążeń.
Kubernetes działa jako platforma zarządzania kontenerami. Co ciekawe, ugruntowane i mocno regulowane branże, takie jak bankowość i usługi finansowe, wykazują większe zainteresowanie tą technologią i są jej wczesnymi użytkownikami, podczas gdy inne branże nadal obserwują oraz oceniają jej wady i zalety. Ci ostatni zastanawiają się, o co w tym wszystkim chodzi, czy można to włączyć do swoich sieci i czy w ogóle jest to przydatne narzędzie pozwalające osiągnąć przewagę konkurencyjną.
Już na samym początku nasuwa się pytanie – czy Kubernetes i oprogramowanie do wirtualizacji są kompatybilne? “Zacznijmy od wyjaśnienia, o czym dokładnie mówimy: Kubernetes jest systemem orkiestracji dla kontenerów. Z kolei przykładowo Docker jest obecnie najbardziej powszechnym środowiskiem wykonawczym dla kontenerów. Kontenery utworzone w Dockerze mogą działać i być obsługiwane oddzielnie. Programiści mogą zarządzać nimi indywidualnie i nie potrzebują koniecznie do tego rozwiązania wyższego poziomu. Jednak wraz z rosnącą liczbą kontenerów rośnie ich złożoność, a widok całego środowiska zostaje rozmyty. Aby wysiłek w tym zakresie był jak najmniejszy, a uzyskany widok jak najbardziej przejrzysty, należy utworzyć centralny punkt administracyjny – i tu właśnie do gry wchodzi Kubernetes. Oprogramowanie czuwa nad wszystkim oraz zapewnia dynamiczną i rozsądną dystrybucję zawartości do kontenerów, aby zagwarantować dostępność usługi i spełnienie wszystkich wymagań. Kubernetes jest więc platformą orkiestracją dla Dockera i dlatego połączenie między nimi jest nie tylko możliwe, ale wręcz pożądane” – tłumaczy Michael Cade, starszy technolog i specjalista ds. strategii w zakresie produktów w Veeam.
“Cztery C” bezpieczeństwa w chmurze
Kubernetes nie zmienia jednak w żaden sposób krajobrazu zagrożeń, wskazują eksperci. Platforma ta nie likwiduje luk w zabezpieczeniach i wymaga takiej samej nowoczesnej ochrony danych, jak każdy ich inny rodzaj. Dawniej po prostu zapisywaliśmy wszystko, a potem dzięki wirtualizacji wybieraliśmy, co i jak często ma być chronione. Obecnie rozwijamy się dzięki kontenerom, których cykl życia to czasami tylko minuty lub godziny, inaczej niż w przypadku maszyn wirtualnych, które mogą mieć żywotność liczoną w miesiącach.
Kubernetes.io udostępnia szczegółową dokumentację, która skupia się na „czterech C” bezpieczeństwa w chmurze: kodzie (Code), kontenerze (Container), klastrze (Cluster) i chmurowym/korporacyjnym centrum przetwarzania danych (Cloud/Corporate Data Center). Model ten zakłada, że każda warstwa bezpieczeństwa w chmurze opiera się na poprzedniej. W związku z tym warstwa kodowania korzysta z solidnych podstaw na poziomie chmury, klastra i kontenera. Jeśli więc obowiązują tam słabe standardy bezpieczeństwa IT, trudności nie mogą być rozwiązane na poziomie kodowania. Każdy poziom musi być zatem mocnym fundamentem samym w sobie. Kubernetes pełni zatem funkcję orkiestratora kontenerów.
Tworzenie kopii zapasowych i replikacja
Jak wskazują specjaliści, ważna staje się jednak sama ochrona danych, na przykład tworzenie kopii zapasowych i replikacja. Pionierzy Kubernetes i kontenerów często narzekają na brak bezpieczeństwa danych i zarządzania nimi w odniesieniu do nowych środowisk. Dzieje się tak dlatego, że dzięki kontenerom infrastruktura znajduje się teraz bliżej aplikacji, a kopia zapasowa danych musi być inaczej tworzona. Pojawiają się już obciążenia stanowe zamiast bezstanowych, powszechnie stosowanych w środowiskach kontenerowych, a także rośnie liczba usług danych wdrażanych bezpośrednio wewnątrz klastra Kubernetes. Inne narzędzia zewnętrzne, takie jak Amazon Relational Database Service (AWS RDS), mogą być podłączone do aplikacji działających w ramach Kubernetes. Zmienia to sposób ochrony danych.
Raport firmy Veeam pt. Cloud Protection Trends Report 2021 pokazuje, że jesteśmy w okresie przejściowym. 46% administratorów SaaS i PaaS stwierdziło, że ich informacje z aplikacji stanowych są zapisywane oddzielnie, podczas gdy 32% administratorów IaaS uważa, że ich architektura kontenerowa została zbudowana z myślą o długim okresie eksploatacji i dlatego nie potrzebują kopii zapasowych. Z drugiej strony 14% administratorów kopii zapasowych nie posiada jeszcze rozwiązania do tworzenia kopii zapasowych dla kontenerów, ale poszukuje go.
“Przez ostatnie 15 lat koncentrowano się na ochronie danych w środowiskach zwirtualizowanych, z tym że środowiska kontenerowe nie są maszynami wirtualnymi. Kopia zapasowa działa inaczej. W tym samym czasie administrator zajmuje się aplikacjami i ich platformami, przyjmując na siebie rolę swoistego środowiska DevOps. Tu z pomocą przychodzą wyspecjalizowane rozwiązania do zarządzania danymi, tworzenia ich kopii zapasowych i odzyskiwania, takie jak oferowane już przez Kasten by Veeam, a które zostały zaprojektowane z myślą o Kubernetes i wszelkiego rodzaju środowiskach kontenerowych, w tym Docker. Ważne jest, aby wziąć pod uwagę specyfikę tych nowych typów środowisk, takich jak ulotna natura wielu kontenerów i ich mikro-funkcji, integracja z chmurami, środowiskami wielochmurowymi lub hybrydowymi infrastrukturami IT” – podkreśla Michael Cade.
Kubernetes na fali wznoszącej?
Analitycy z ESG opublikowali we wrześniu 2020 roku raport zatytułowany Data Protection Trends and Strategies for Containers, który podsumowuje wyniki ankiety przeprowadzonej wśród 334 specjalistów IT z przedsiębiorstw ze Stanów Zjednoczonych i Kanady. Na pytanie o wykorzystanie kontenerów aż 67% odpowiedziało, że używa ich do aplikacji związanych z produkcją. To stwierdzenie podkreśla rosnące upowszechnienie i integrację kontenerów z systemami i sieciami, a trend ten będzie kontynuowany w ciągu najbliższych dwóch lat, uważają eksperci.
Podobny obraz wyłania się z raportu VMware pt. The state of Kubernetes 2021 – 65% uczestników korzysta już z Kubernetes w ramach swoich środowisk produkcyjnych. W roku 2020 było to tylko 59% Ponadto aż 98% ankietowanych stwierdziło, że widzi duże korzyści z wdrożenia Kubernetes. Badanie pokazało jednak, że dużym problemem dla tych firm jest znalezienie odpowiednio wyszkolonego personelu.
“Wraz z rozwojem kontenerów platforma Kubernetes będzie coraz częściej wkraczała na scenę, aby umożliwić skuteczne zarządzanie nowymi środowiskami. Kubernetes prawdopodobnie rozpocznie swój triumfalny marsz poczynając od startupów i dużych korporacji. Te pierwsze mogą zbudować swoje sieci i od razu wdrożyć nową technologię, podczas gdy te drugie mają niezbędne środki i personel, aby z powodzeniem wprowadzić ją do istniejących środowisk. W badaniu GigaOM Radar for Kubernetes Data Protection podkreślono, że istnieją już rozwiązania do zarządzania, takie jak Kasten by Veeam K10, które zapewniają ochronę infrastruktury Kubernetes od samego początku jej tworzenia. Ponadto mogą one również koordynować maszyny wirtualne i obciążenia w chmurze. Tak więc dla większości przedsiębiorców pytanie nie brzmi już, czy powinni używać kontenerów i narzędzi orkiestracji, ale które z nich wybrać, ponieważ zalety tej nowej technologii są łatwo dostrzegalne” – podsumowuje Michael Cade.