Jump to content

Recommended Posts

Salut, concernant l'approche de docker "traditionnelle", elle souffre quand même de pas mal de problèmes de sécurité. Beaucoup de providers utilisent depuis assez longtemps une archi ou tu monte d'abord une VM avant de lancer ton conteneur dedans...typiquement c'est l'approche utilisée chez Microsoft, CleverCloud et pas mal d'autres...

Tu as désormais des approches "middle ground" entre les VM traditionnelles et le tout conteneur avec des choses comme FireCracker et les micro-vms qui me semble bien plus prometteuse sur le long terme.

https://thenewstack.io/how-firecracker-is-going-to-set-modern-infrastructure-on-fire/

 

Share this post


Link to post
Share on other sites
Posted (edited)

Je n'avais pas vu ta contribution. J'ai également demandé à un modo de séparer du sujet de capitalisation car le débat est tout autre.

Je dirait au contraire que les éléments de conteneurisation apportent plus de réponses aux problématiques de sécurité. Si tu peux détailler ton propos, je suis intéressé.
Comme souvent les problème de sécurité sont lié aux équipes qui l'utilisent et je ne vois pas en quoi docker empirerai le sujet. Bien au contraire le fait que le conteneur embarque le moins d'outil possible réduit les surfaces d'attaque. La conteneurisation avec ses couches d'images & dockerfiles permet d'accélérer les cycles de mise à jours et éviter le retard trop souvent constaté de mise à jours des socles/libs.
J'aimerai bien avoir plus de précisions du lien indiqué sur le fait annoncé que LXC est moins sécurisé à cause de "relaxed isolation levels" sachant que les "priviledged containers" sont à proscrire et même interdit en général.

J'attend encore de voir le "technology killer" que l'on nous annonce toujours depuis de nombreuses années. Les paris sont difficiles (et quand je vois que l'article parle de l'implémentation d'Intel dans openstack qui est un socle qui est tombé en disgrâce).

Pour l'article en lui même, je trouve de nombreux faux arguments et même éronnés.
Exemple parmi tant d'autre : l'aspect démarrage de conteneurs présenté ici comme "lent" ... je dois avouer ne pas comprendre et ne pas le constater au quotidien (quel est l'ordre de comparaison?). Les seuls éléments en compétition avec docker sont les approches serverless qui sont plus un complément qu'une concurrence directe car ne répondent pas aux même enjeux.

Edit: Ah firecracker est un framework pour le serverless.

L'article d'AWS confirme ma vision que c'est un complément (ici via containers kata) et que kubernetes restera probablement un hyperviseur transverse

https://aws.amazon.com/fr/blogs/france/kata-containers-1-5-pour-firecracker/

Kata-Firecracker-example.png

Edited by Sheepux

Share this post


Link to post
Share on other sites

Le problème ne vient pas des conteneurs en soit...mais du nombres de couches que tu empile avec des conteneurs...

Avec des conteneurs, tu as généralement:

  • une couche hyperviseur
  • une couche OS hébergeant ton runtime
  • ton runtime de conteneurs (je ne connais pas le terme français)
  • tes conteneurs

Du coup, tu t'expose à des failles liées à

  • ton hyperviseur (relativement peu fréquent)
  • ton OS hébergeant ton runtime de conteneurs (très très fréquent)
  • ton runtime de conteneurs (très fréquent)
  • tes conteneurs (très fréquent)

Raison pour laquelle que ce soit, MS, Amazon, ou CleverCloud (j'ai déjà discuté de ce sujet avec Quentin Adam à plusieurs reprises) utilisent systématiquement la politique 1 VM = 1 conteneur max...en étendant cette politique, on en arrive rapidement à la conclusion qu'utiliser directement un truc quasi bare metal permettant de limiter la surface d'attaque disponible permet de faire de grosses économies en terme de ressources...

Ensuite, l'article mentionné date de 2018 mais incluait toutes les références permettant de se faire une idée, raison pour laquelle je l'ai linké 😉

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now

×
×
  • Create New...