המלכודות שטומנים לכם כאשר אתם עוברים לענן: לכידה בלי יכולת יציאה
מאת: אבי וייס, 19.4.17, 07:30
 
אזהרה למנהלים ומפתחים, שהולכים ונופלים למלכודת של הענן בגן נעול ולא יכולים לצאת מהגן זה לעולמים. ה"גורו" של רד-האט חושף את האמת שלא רוצים לדבר עליה בקול רם ולא מעוניינים שתדעו. חשיפת הפתרונות החדשים של עולם הקוד הפתוח והמאובטח היטב, היישר מפיו של "גורו האבטחה" של עולם הקוד הפתוח ברד-האט. 
 
"רד-האט דוגלת מאז ומתמיד ברעיון של פירוק מונופולים ומניעת לכידת לקוחות, תוך שימוש בקוד פתוח", מתאר דן וולש (Daniel [Dan] Walsh), Consulting Engineer, חברת Red Hat. "ברגע שהמידע שלך עבר לענן של אמזון, הוא לא יחזור משם. אתה לכוד אצלם ולא רק אצלם. אני לא מאמין לכל הסיפורים, שאנשים מספרים, שאפשר להניע מידע בין עננים. אני לא ראיתי את זה עדיין עובד. זו פיקציה. אני לא מאמין ולא רואה אנשים, שמסוגלים להניע את המידע הכי חשוב להם בין עננים".
 
קיימתי ראיון בלעדי עם דן וולש (בתמונה), "גורו עולמי" באבטחת קונטיינרים (Containers), כדי לשמוע על מימוש הרעיון של "קוד פתוח" - לכולם, גם בענן (מכל סוג), מבלי "להילכד בענן". לאחרונה, רד-האט הכריזה על שת"פ עם IBM ביישום וקידום OpenStack בעננים היברידיים. ל-IBM יש כיום השקפת עולם די דומה (כמפורט כאן), בעניין מניעת "נעילת לקוחות" ארגוניים ועסקיים - בענן. 
 
שאלה: מה זה קונטיינרים מנקודת מבטך?
דן וולש: "זה למעשה פיתוח תוכנה בעולם הלינוקס, שהוא כידוע העולם של קוד פתוח. למעשה זו מערכת הבונה סביבה מלאה של משאבים ואבטחה ומיועדת לרוץ בענן.
 
הייתי שותף לפיתוח של גישת הקונטיינרים, כאשר חיפשנו פתרונות אבטחה בלינוקס בתחילת שנות ה-2,000 וראינו, שהדרך הטובה ביותר לשרת את נושא האבטחה היא להפריד את העיבודים והמשאבים. כעבור כ-3 שנות פיתוח כבר הראינו יישומים, שעובדים מעל מערכת ההפעלה ושיישומים אחרים לא רואים אותם. הפיתוח של הנושא הסתיים ב-2005 וזה הפך, למעשה, לנחלת כלל תעשיית התוכנה.
 
מכאן, שטכנולוגיית הקונטיינרים נמצאת עמנו כבר מעל ל-15 שנה. רבים כיום מתבלבלים בין המונח "דוקר" – Docker לבין קונטיינר. זו פשוט שיטה מתקדמת יותר לפתח יישומים בקונטיינרים, שיטת אריזה טובה יותר ולכן השם שונה, אבל זו, למעשה, גם כן קונטיינרים. גישת ה"דוקר" מספקת שכבה נוספת של הפשטה ואוטומציה של וירטואליזציה ברמת מערכת ההפעלה. כך, שקל יותר להעביר, להתקין ולהריץ יישומים בקונטיינרים.
 
רעיון ה"דוקר" החל לפני כ-4 שנים והייתי מעורב בפיתוח של הרעיון הזה, שהוא למעשה המשך של פיתוחים של קונטיינרים מעל ללינוקס".
 
ש.: לאן הקונטיינרים הולכים ומה העתיד הצפוי לגישה הזו?
ת.: "מנקודת המבט שלי והניסיון שלי, הקונטיינרים הולכים ל-2 כיוונים:
 
א. לכיוון של תזמור (Orchestration). אם יש לי נניח 10 קונטיינרים ואני מעוניין לנהל אותם ולשלוט בהם, אני זקוק לכלי תזמור. 3 תקנים התחרו על תחום התזמור, אבל לפי מה שמתפתח בשוק וממה שאני רואה ומאמין, הגישה של Kubernetes תהיה התקן המוביל לתזמור וניהול של קונטיינרים.
 
המטרה של Kubernetes היא לנהל עשרות ומאות קונטיינרים באותה סביבת עבודה בענן. יש עדיין עוד מה לעשות ולפתח, כדי שהגישה הזו תהיה שלמה ומאובטחת ברמה מספקת, לכל סוג של לקוחות.
 
ב. לכיוון של התפתחות טכנולוגית, בדגש על תחום האבטחה. זה התחום בו אני משקיע את עיקר זמני וזמן הצוותים, שאני מנהל ברד-האט. אני עובד עם כ-25 מהנדסים על המשך הפיתוח של קונטיינרים, כך שהם יהיו יותר מאובטחים וגם יותר קלים לניהול.
 
אנו מעוניינים לפתח כלים, שיריצו קונטיינרים על כל מכשיר. התעשייה הולכת לכיוון הזה בגישה שמכונה OCI (ר"ת: Open Container Initiative), עם תקן runC. הגישה הזו היא המשך ישיר לגישה של הדוקר.
 
המטרה שלנו: קונטיינרים בפורמט תעשייתי מקובל – OCI, עם סטנדרטיזציה ויכולת לשלוט ב-Images בעת שהם נעים מהענן למכשיר שלי. יש כאן כבר כמה כלים, שאנו מציגים ונציג לקהילת המפתחים.
 
אנו גם מפתחים כלים למערכת האחסון, שתחזיק את הקונטיינרים. כך, שיהיה כאן אוסף של רכיבים, שיאפשרו את השליטה המלאה בקונטיינרים. המטרה שלנו לבנות כלים אוטומטיים בלי להזדקק ל-daemon. אנו מעוניינים, שהקונטיינרים יהפכו לאפליקציות קלות לתפעול, לתזמור ולתנועה.
 
אני קורא לזה: הפיכת הקונטיינר ל-PDF. כלומר: מסמך, שהפך ל-PDF קל לטפל בו והוא רץ על כל מערכת הפעלה ועל כל מכשיר קצה. כך הקונטיינרים אמורים להתנהג. אני מעוניין להגיע למצב, שהטיפול בקונטיינרים יהיה קל, בדיוק כמו שכל אחד מטפל בקלות בקובץ PDF".  
 
ש.: מה עמדתך להתפתחות, שנדחפת ע"י אמזון, בשם Lambda?
ת.: "כמעט כל ספק ענן מעוניין ללכוד לקוחות אצלו בענן. זה בדיוק מה שאמזון מציעה, שירות לא פתוח. זה הפוך בדיוק לגישה שלנו.
 
אם תביט על התעשייה שלנו לאורך השנים תראה, שחברות הענק, החל מ-IBM בעבר ודרך כל ספקי היוניקס וסן-סולריס, רצו רק דבר אחד: ללכוד את הלקוחות בגן נעול אצלם.
 
אנו באנו לשוק בגישה הפוכה לגמרי: למנוע לכידת לקוחות, לתת ללקוחות את חופש הבחירה, לאפשר ללקוחות שימוש בקוד פתוח, בכל התעשיות. זו המהפכה, שהבאנו לשוק, ואין סיבה שניסוג ממנה.
 
כאשר כולנו עברנו לענן ראינו, שספקי הענן הגדולים רוצים להכניס לענן כלים, שרק הם מפתחים ומספקים. כך, הם רוצים לקחת את היישומים של הלקוחות שלהם ולנעול אותם בכלים, שהם פיתחו. זה בדיוק מה שאמזון, מיקרוסופט וגוגל עושות בעננים שלהן.
 
אנו מאמינים בקוד פתוח בענן, מאמינים בקונטיינרים. העיקר בקוד פתוח: אתה יכול להחליף ספקים. אתה לא כבול למערכת פרטית.
 
אני כבר 16 שנה ברד-האט ואני יכול להראות לך, שאתה יכול לקחת כל קוד שלנו, להשתמש בו ולהחליט, שאתה ממשיך להשתמש בו, גם אם אתה לא לקוח שלנו והחלטת לנטוש אותנו וניתקת כל קשר אתנו.
 
אנו עובדים קשה בשביל הלקוחות ולא נגד הלקוחות. לכן, אנו לא מאמינים, שהנעילה של הלקוחות משרתת את האינטרסים שלהם או שלנו".
 
ש.: מהן הסיבות לפופולריות הגדולה בשוק של הקונטיינרים?
ת.: "קודם כל, ממה שאני רואה ומאמין, המפתחים אוהבים את התפיסה הזו. הם אוהבים לפתח יישומים ולבחון אותם על המערכת שלהם, כי זה הכי קל להם. אם הם מנסים יישומים על מערכת, שאינה שלהם, יש תמיד תקלות, כשלים ובאגים.
 
הניסיון לימד את המפתחים, שתחום ה-QA חייב להתבצע במערכת נשלטת. המפתחים עובדים קשה לפתח יישומים לפי צרכים ברורים ולכן הם הגיעו למסקנה, שכדאי להריץ קונטיינרים, כי כך הם מגיעים לתוצאות המבוקשות מהר יותר. כך הם שומרים על הקוד העובר מהפיתוח ל-QA ובחזרה, התאימות היא מלאה. כל קוד מכל מקור ומכל זמן תמיד ניתן ליישם אותו ב-Image על הקונטיינר ולהגן עליו.
 
סיבה נוספת להצלחת הקונטיינרים היא, שהתפיסה הזו מאוד מתאימה לעולם ה-VM (מכונה וירטואלית). ה-VM אמורה לנהל גם אפליקציות ולא רק מערכת הפעלה. אבל איך שומרים על היישומים זה מזה ומפגיעות חיצוניות?
 
לכן, הקונטיינרים מאפשרים ניהול מלא, גם של מערכת ההפעלה וגם של היישומים, כל יישום בסביבה המתאימה ליישום".  
 
שאלה: מהן בעיות האבטחה הקיימות בתפיסת הקונטיינרים?
תשובה: "אנו עוסקים בקונטיינרים הנבנים על פי תקנים מקובלים ויש בהם קודם כל חולשה בגישה שלהם למעבד הווירטואלי.
 
אנו הגדרנו קונטיינרים לפי הסביבה, שרצינו להריץ אותם. אני קראתי לזה 'גישת 3 החזירים'. גם פרסמתי 2 ספרוני מידע מאוירים בנושא, והמרכזי נמצא כאן להורדה. '3 החזירים' זקוקים לסביבה לגור בה ויש להם 3 אפשרויות מרכזיות:
א. בית פרטי. זו הרצת אפליקציה על מכונה אחת סגורה. די קל להגן עליה. אבל זה יקר לנהל ולהגן על כל כך הרבה בתים בודדים.
ב. דופלקס. זו הרצה של קונטיינרים על מספר מכונות וירטואליות. צריך לבנות כאן חומות בין הדירות בדופלקס.
ג. בית רב קומות מלא חדרים, כמו בית מלון או בית חולים. כאן יש מערכות מלאות עם בעיות של פריצות ממקום אחד למקום שני. יש בעיה להגן על המשאבים ועל המכונות הווירטואליות הרבות הנמצאות בכל החדרים. שער הכניסה משותף לכל הדירות וזו פרצת אבטחה ענקית. 
 
אני טוען, שאם רוצים אבטחה, צריך Kernel בחוזק של רמה ארגונית. אבל, גם Kernel בן שנה, יש בו כבר פרצות ובאגים. לכן צריך קרנל יציב ומתעדכן. זה תנאי הכרחי בסיסי להרצת קונטיינרים מוגנים.
 
לכן, אנו קודם כל בודקים את מערכת ההפעלה, שמעליה רצים הקונטיינרים. זה גם אמור להשפיע מי ספק הענן שנבחר. יש כאן המון סימני שאלה סביב האבטחה של הקונטיינרים. צריך כיום כלים ברמה גבוהה, כדי לנהל את הסיבוכיות הזו. הבעיות של האבטחה בקונטיינרים לא תיעלמנה בקלות".
 
ש.: אילו פיתוחים יש לכם בקונטיינרים מאובטחים?
ת.: "רבים חושבים, שאם הם יודעים לפתח קונטיינרים לבד, זה יעבוד בלי בעיות. אולם, היכולת שלנו ברד-האט הוא לאפשר לזה באמת לעבוד. לכן אנו תורמים המון לפיתוח Kubernetes, משקיעים המון בגישת ה-OpenShift, מקדמים את נושא התזמור.
 
הפתרון המרכזי שלנו כיום הוא OpenShift כפלטפורמה לקונטיינרים מאובטחים. זה אוסף של כלים לניהול יעיל ומאובטח של קונטיינרים. זה שירות ,PaaS שהשוק מקבל זאת בצורה מאוד נלהבת. הצורך של הלקוחות הוא לשלוט בכל, ממערכת ההפעלה עד היישומים והאחסון.
 
המתחרים שלנו הם בעיקר הענן S3 של אמזון וגם גוגל. אבל בניגוד להן, אנו עושים ומספקים את הכל ללקוחות בקוד פתוח. הלקוח יכול לבצע הכל לבד, או להיעזר בנו, או בכל מי שיחפוץ. גופי ענק בעולם דוגמת דויטשה-בנק כבר בחרו בפתרון הזה. גם הבנקים נעים לכיוון של הקונטיינרים.
 
אם תבחן מה עשתה מיקרוסופט לאחרונה תגלה, שגם היא קפצה לעולם הקונטיינרים, כדי לא להפסיד את השוק, למרות שזה לינוקס וזה קוד פתוח.
 
למיטב הערכתי, הפתרונות הללו יגיעו לכל שוק ולכל מקום. אתה תמצא קונטיינרים גם על רובוטים אנושיים. תמצא קונטיינרים בכל מכשיר ובכל מוצר אלקטרוני. גם סנסורים של עולם ה-IoT יחוברו לקונטיינרים. זה יוסיף שכבת אבטחה, שחסרה היום על הסנסורים.
 
עולם ה-IoT מתמודד היום עם בעיות אבטחה קשות, משום שמייצרים סנסורים בפרוטות ומצפים שהם יהיו מוגנים, מה שלא הגיוני במחיר הייצור שלהם. מי שמייצר סנסור בכמה דולרים ומוכר אותם בכמויות של מיליוני יחידות, לא בודק את רמת האבטחה על המערכת של התוכנה הנמצאת בסנסור. זו פרצה מאוד גדולה. אני מאמין, שחלק מהבעיה ייפתר כשהתפעול של הסנסורים הללו ייעשה בקונטיינרים.
 
ממה שאני רואה, רוב הפרצות בכל המערכות נובעות מחוסר עדכונים בזמן. זה האתגר הכי חמור, שאנו מתמודדים עמו ולכן אנו עושים הכל, שהפתרונות יהיו אוטומטיים".
 
שאלה: מה החלום המקצועי שלך?
דן וולש: "בגישה שלי אני מאמין, שהחברה בה אני עובד מעוניינת להציל את המנהלים, שמובילים אותם בדרך שלהם כמו עיוורים -לענן. אני רואה כל יום כיצד אנשים מכל תחום נופלים בקלות למלכודת של הענן. זו המלכודת הכי מסוכנת הקיימת כיום בשוק.
 
אני מאמין, שהגישה שלנו, גישת הקוד הפתוח, היא הפתרון היחיד היכול להציל את השוק. זו גישה עצמאית, שלא מאפשרת ללכוד את הלקוחות. הבעיה שלנו היא לא המעבר לענן אלא הלכידה בענן.
 
החברות מרגילות את האנשים לענן כמו סם. בהתחלה, למשל אמזון, היא נותנת לך להתנסות בענן בחינם או כמעט בחינם. אחרי שהתרגלת, אתה לא יכול להיגמל מזה.
 
בוודאי ראית את המשאיות של אמזון, שלוקחות מידע בכמויות ענק מהארגון ומסיעות את המידע הזה ל-Data Centers של אמזון, כדי שהמידע של הארגון יעבור לענן של אמזון. אולם, תגיד לי אתה: האם המשאיות הללו יכולות לחזור עם המידע? ראית משאיות של אמזון הנוסעות הפוך? התשובה די ברורה: לא.
  
תגיד לי אתה: כמה חברות יצאו עם המידע שלהם מהענן של אורקל, אחרי שהם שמו את המידע שלהם באורקל? זה לא קורה ולא יקרה. אין תהליך כזה. לדעתי, זה רעיון רע מאוד להילכד אצל הספק שלך.
 
אני משמיע את הקול שלי ואני מקווה, שאני משפיע. בינתיים, אני רואה שרד-האט מצליחה. אני משוכנע, שנמשיך להצליח, כי התפיסה שלנו היא נכונה ובסיסית. יש לנו משנה חשובה וסדורה לספר לעולם, ולכן רבעון אחרי רבעון אנו עולים ברציפות בהכנסות שלנו, מזה שנים. זה לא מקרי.
 
יש אנשים, שכן מאמינים לנו ומוכנים לרכוש פתרונות שלנו. זו המשימה שאני דבק בה ומשמיע אותה לכל מי שרוצה לשמוע".
 
סרטון אודות "אבטחה בעולם הקונטיינרים", מפי דן וולש: