Amazic: containers zijn sneller en efficiënter

Een kortere time-to-market. Dat vooral, is het nut van softwarecontainers. Zo meent Mohamed Yassini, directeur van distributeur Amazic. “Maar je moet dan wel de beveiliging goed regelen, want de traditionele security-omgeving is niet gemaakt voor containers en multicloud!”

Samen met Sandor Klein, VP EMEA bij softwarebedrijf Sysdig, gaat het gesprek eerst en vooral over containers zelf. Vorig jaar nog voornamelijk een buzzword, maar in 2019 hebben containers voet aan de grond gekregen. “Elke CIO heeft dit onderwerp wel op zijn netvlies”, zegt Klein. Eraan toevoegend dat de grote banken de technologie al volop inzetten. “Tja, banken lopen altijd voorop met nieuwe technologieën”, verklaart Yassini. Maar inmiddels hebben techbedrijven, telecomaanbieders, managed service providers en grote overheden (zoals Duitsland met zijn overheidscloud) ook containers omarmd. De Nederlandse overheid heeft nog geen containers in productie, maar er is wel veel belangstelling voor het onderwerp.

“Vorig jaar hebben de organisaties een keuze gemaakt voor welk platform de basis is om met containers te werken: Docker, Kubernetes, Rancher of Red Hat OpenShift bijvoorbeeld. Nu buigen ze zich over de vraag hoe zij containeromgevingen kunnen beveiligen en beheren. Met een tiental containers lukt het nog wel om dat handmatig te doen, met honderd misschien ook wel. Maar bij veel grotere aantallen moet je een op containers toegesneden beheertool hebben”, prijst Klein de oplossing Sysdig Platform aan: één tool voor monitoring én beveiliging.”

Sysdig Platform laat al van zich horen tijdens de bouw van containers: het scant op kwetsbaarheden en blokkeert die, bovendien dwingt het best practices af; tijdens het draaien van containers blokkeert het Platform bedreigingen, dwingt het compliance af en monitort het de prestaties van applicaties. Het geeft bovendien pro-actief signalen over incidenten en vermindert de MTTR (Mean Time To Repair) door forensics toe te passen.

Overal draaien

Een groot voordeel van containers is dat de ontwikkelaars zich niet hoeven te bekommeren over de hardware waarop de programmatuur landt; zij kunnen zich concentreren op de functionaliteit. Het programma draait overal: een pc, tablet, smart phone, maakt niet uit. En het mooie is dat als een container hapert, hij zichzelf weer opstart.

Er zijn inmiddels bedrijven die tienduizenden containers hebben draaien en daar dagelijks nieuwe aan toevoegen. Dan wil je wel weten waar ze draaien: on prem, in een private cloud of een public cloud, en welke dan wel? “Dat is alleen al nodig voor compliancy of om aan de AVG/GDPR te kunnen voldoen”, stelt Yassini.

Bij zulke grote aantallen moet dat automatisch gebeuren. De regiefunctie is typisch iets dat Sysdig op zich neemt. Klein: “Eigenlijk zijn wij Splunk voor containers.” Verwijzend naar het open source programma dat big data analyseert. “Sysdig Monitor indexeert alle containers. Je weet precies waar ze draaien, wie ze gemaakt heeft.”

Beveiliging

Automatiseringsplatformen dienen veilig te zijn. Dat geldt evenzeer voor de software. Het werken aan programmatuur in gezamenlijke inspanning door ontwikkelaars, testers, en de mensen die verantwoordelijk zijn voor het gebruik van de programma’s binnen de organisatie staat bekend als DevOps. Een gezamenlijke inspanning om er zeker van te zijn dat de programmatuur doet wat hij moet doen.

“De volgende stap is DevSecOps”, stelt Yassini. “Want beveiliging is niet iets wat je er later aan toe gaat voegen, zoals dat nu vaak gebeurt. Want dan zul je zien dat iedereen blij is dat het programma klaar is, dat ze geen tijd en geld willen besteden aan iets waardoor het in productie nemen wordt uitgesteld. Al te vaak schiet security er dan bij in.”

Dat moet anders: binnen het team dat containers bouwt, hoort de beveiligingsspecialist te zitten. “Hij of zij moet aan de voorkant meedenken aan alle security-aspecten voor de programmatuur. Hier biedt Sysdig Secure de helpende hand”, zegt Yassini.

Klein vult aan met de opmerking dat het bedrijf onlangs Sysdig Falco heeft geïntroduceerd. Dit is een tool om de regels op te stellen die de runtime-omgevingen binnen het Kubernetes-platform beveiligen. “Wij hebben Falco ontwikkeld en teruggegeven aan de open source beweging. Eigenlijk zijn wij de enige die de beveiligingsproducten heeft gebaseerd op een open source project. Het is vreemd om miljoenen euro’s te besteden aan het creëren van een moderne, open IT-omgeving binnen een organisatie en dan closed source security tools te gebruiken. Die zijn daar helemaal niet voor gebouwd.”

Open source

Daar heeft Klein wel een ‘dingetje’ meent Yassini. De moderne infrastructuur – zeker cloud native – is op open source gebaseerd. De CNCF (Cloud Native Computing Foundation) ziet erop toe dat de producten goed, veilig en inderdaad open zijn. “Daarom is het goed om voor de monitoring, het beheer, de beveiliging en forensics van containers een product – zowel beschikbaar als on-premise en ook als SaaS-toepassing – te kiezen dat open source hoog in het vaandel heeft.”

Dat Goldman Sachs niet alleen Sysdig gebruikt, maar ook investeert in de onderneming is volgens Klein veelzeggend. Nog één voordeel van het werken met containers wil het tweetal nog meegeven: ze maken heel efficiënt gebruik van de resources binnen een geautomatiseerde omgeving. “Je hebt minder hardware nodig om hetzelfde te doen als met de traditionele programmatuur.”

Auteurs: Teus Molenaar en Witold Kepinski