Artikel 15 januari 2021

Dit moet je weten over Kubernetes en databescherming

De manier waarop organisaties applicaties ontwikkelen en hosten, is ingrijpend veranderd door de modulaire, minimaal belastende aard van containers. Het gebruik van containers neemt razendsnel toe. Kubernetes ontpopt zich daarbij tot de voorkeursoplossing voor de inzet van applicaties in productieomgevingen. Meer, het groeit daarmee ook uit tot cruciale technologie voor de orchestration van containers, noodzakelijk voor het beheer van diezelfde applicaties.

Volgens recent onderzoek zal Kubernetes de komende 24 maanden zijn opmars doorzetten. Containers zullen op brede schaal worden ingezet in productieomgevingen. Ze zullen virtuele machines zelfs van de troon stoten. Bedrijven moeten hun applicaties dagelijks of zelfs meerdere keren per dag bijwerken. Deze voortdurende updates vragen om microservices die te groot zijn voor de virtuele machines die organisaties normaliter gebruiken.

Maar als het aankomt op security en databescherming kan het moeilijk zijn om grip op Kubernetes te krijgen. Bovendien voldoen legacy-tools en processen simpelweg niet aan de eisen van een cloud-native-platform als Kubernetes. In tegenstelling tot meer volwassen virtuele omgevingen biedt Kubernetes minder veiligheidsmechanismen die waarborgen dat nieuwe workloads qua configuratie databescherming op een juist manier hebben meegenomen. It-afdelingen die de databescherming in Kubernetes-omgevingen willen optimaliseren, moeten daarom in elk geval rekening houden met de volgende belangrijke factoren. 

  • Bescherming van containerpijplijnen

Container-images fungeren als permanente lagen tijdens het installatie- en configuratieproces. Maar in plaats van simpelweg het eindresultaat (de container-image) vast te leggen, is het veel logischer om de technologie te beschermen waarmee de images worden aangemaakt, met inbegrip van alle configuratiescripts (zoals Dockerfiles en Kubernetes YAML-bestanden) en documentatie. Ook wel bekend als een pijplijn.

Regelmatig ziet men echter de eisen ten aanzien van databescherming voor de systemen die de containers aanmaken als onderdeel van de ci/cd-pijplijn over het hoofd. Het gaat hierbij om tools als build servers en code- en artifact-repository’s voor de opslag van containers en applicatie-releases. Door het beschermen van deze workloads wordt het leeuwendeel van de pijplijn die container-images produceert per definitie effectiever beschermd.

  • Stateless- en stateful-applicaties

Het beschermen van ‘persistent’ data van applicaties is een ander belangrijk stukje van de puzzel. Om dit toe te lichten: in de vroegste ontwikkelingsfasen van containertechnologie werd vaak gezegd dat containers alleen geschikt waren voor stateless workloads, en dat het onmogelijk was om data in een container op te slaan. Maar de tijden en technologieën zijn veranderd. Zowel de onderliggende container-runtime als Kubernetes zelf bieden integrale ondersteuning voor een scala aan workloads, met inbegrip van stateful-applicaties. Hoewel de container-images zelf een tijdelijk karakter hebben en wijzigingen van het bestandssysteem verloren gaan zodra de gehoste container wordt verwijderd, zijn er inmiddels diverse opties beschikbaar voor het toevoegen van stateful en ‘persistent’ storage aan een container. Zelfs zakelijke storage-arrays die reeds in datacenters op locatie worden gebruikt, kunnen Kubernetes-clusters van stateful storage voorzien. Houd deze mogelijkheden voor ogen bij de ontwikkeling van een strategie voor databescherming en de keuze van een platform.

  • Clouddiensten op elkaar afstemmen

Veel organisaties doen een beroep op clouddiensten voor object storage of bestandsopslag omdat deze diensten snel en eenvoudig in gebruik genomen en beheerd kunnen worden. Maar er zijn ook nadelen aan verbonden, omdat deze storage-omgevingen buiten het zicht vallen van medewerkers die verantwoordelijk zijn voor de databescherming. Het bestaan van onbeheerde persistent storage-bronnen brengt het risico met zich mee dat data niet worden beschermd door backups, disaster recovery en mogelijkheden voor het verplaatsen van data binnen applicaties. Het is daarom belangrijk om te beseffen dat het goed organiseren van opslag in de cloud net zo lastig is als van it-opslag op locatie. Organisaties moeten zorgen voor een consistente benadering van de toegang tot opslag-bronnen in de cloud en het beheer daarvan. Op die manier kunnen developers een beroep doen op de diensten die zij nodig hebben, terwijl hun collega’s in staat zijn om het overzicht, de beveiliging en de algehele verantwoordelijkheid voor databescherming op peil te houden.

Lees het volledige artikel op computable.nl

Ook interessant