Saiba como monitorar contêiner no Docker

Tecnologia OpenSource é alternativa ao modelo tradicional de virtualização por máquina virtual. Aprenda a gerenciar contêiner com essa ferramenta.

Com apenas três anos de vida, a tecnologia Docker ganhou atenção dos desenvolvedores pelo seu grande potencial de crescimento no mercado. A plataforma apresenta um novo conceito de virtualização em Nuvem, que é a técnica por contêiner, em oposição ao sistema tradicional de máquinas virtuais. Os CIOs (Chief Information Officers) acompanham a evolução dessa tendência, mas questionam sobre a segurança e formas de proteção da infraestrutura criada pelo modelo.

Apresentada ao mercado em março de 2013, a tecnologia foi criada por Solomon Hykes, atual CTO (Chief Technology Officer) da Docker, baseada em São Francisco (EUA). Ele desenvolveu a plataforma quando ainda estava na dotCloud (empresa de Plataforma como Serviço -PaaS).

O sistema Docker é uma plataforma OpenSource (de código aberto) concebido para desenvolvedores e administradores de sistemas tornarem mais rápidas a criação, implantação, gerenciamento e execução de aplicações distribuídas.

A solução chegou ao mercado como uma alternativa ao modelo tradicional de virtualização por máquina virtual (Virtual Machine – VM) baseada em HyperVisor. Pela plataforma Docker, não é necessário recriar um sistema operacional (SO) completo como acontece na abordagem de VM.

O modelo Docker utiliza os mesmos recursos de SO em ambiente virtual neutro, chamado de contêiner, que processam aplicações de forma separada. A tecnologia é comparada com os recipientes ferro que armazenam mercadorias e são transportados em navios, sem interferência do que acontece com os demais contêineres.

A plataforma Docker nasceu baseada no Linux Containers (LXC), tecnologia de virtualização que está no mercado desde 2008. Conforme foi evoluindo, a suíte de Hykes ganhou uma interface própria para acessar as funcionalidades de grupos de monitoramento (Cgroups) e espaços de nomes (Namespace) do Kernel, ou núcleo, do sistema operacional Linux.

Depois de percorrer esse caminho, o Docker passou a criar e rodar ambientes virtuais de forma isolada em um único host (hospedeiro), como faz o LXC. Esse ambiente cria um container onde são executados os aplicativos.

Monitoramento de Docker contêiner

O uso da infraestrutura de contêineres ainda não é muito compreendido pelas equipes de segurança da informação auditores e Gestão de Riscos e Compliance (GRC) das companhias, que ainda olham o conceito com desconfiança. Por ser uma tecnologia nova, é importante que a contratação desse serviço tenha o envolvimento desses times, orientam especialistas. O sistema exige a adoção das mesmas políticas de segurança praticadas pela organização para o monitoramento dos contêineres.

Os mesmos mecanismos, se usados na proteção de dados, devem ser replicados para a infraestrutura de contêineres. Uma das ferramentas recomendadas é o uso de Sistema de Detecção de Intrusão (IDS) para monitorar, identificar e notificar a ocorrência de atividades maliciosas que coloquem a empresa em risco.

Porém, especialistas observam que essa ferramenta não é nativa para componentes da máquina subvirtuais, ou seja, contêineres. Por isso, eles sugerem que o IDS seja instalado no host (hospedeiro) e não no contêiner.

À medida que essa tecnologia for ganhando massa crítica, a indústria de segurança da informação deverá apresentar novidades para reforçar a proteção de contêiner como está acontecendo com as instâncias de Cloud Pública. Entretanto, especialistas acreditam que as soluções para esse tipo de Cloud estão muito atrás das funcionalidades necessárias para monitorar ambiente subvirtuais.

Fornecedores de soluções para o varejo, por exemplo, já estão implementado Docker com compatibilidade ao PCI-DSS (Payment Card Industry – Data Security Standard), padrão internacional de segurança criado pelas administradoras de cartão de crédito para proteger dados de consumidores nos pagamentos online.

Esse exemplo sinaliza que o mercado está olhando para Docker e que novas tecnologias devem surgir em breve transmitir mais confiança na adoção dessa plataforma.

Gostou deste artigo? Comente!


Comente o que achou