Tsy ela akory izay dia nanao fanombanana hafa momba ny fanarahana ny fepetra takian'ny GOST R 57580 izahay (antsoina hoe GOST tsotra izao). Ny mpanjifa dia orinasa iray mamolavola rafitra fandoavam-bola elektronika. Ny rafitra dia matotra: mihoatra ny 3 tapitrisa ny mpampiasa, mihoatra ny 200 arivo isan'andro. Tena zava-dehibe tokoa ny fiarovana ny vaovao any.
Nandritra ny dingan'ny fanombanana, nanambara tsy misy dikany ny mpanjifa fa ny departemanta fampandrosoana, ankoatry ny milina virtoaly, dia mikasa ny hampiasa kaontenera. Saingy miaraka amin'izany, hoy ny mpanjifa nanampy, dia misy olana iray: ao amin'ny GOST dia tsy misy teny momba ny Docker mitovy. Inona no tokony hataoko? Ahoana ny fanombanana ny fiarovana ny kaontenera?
Marina fa GOST ihany no manoratra momba ny virtoaly fitaovana - momba ny fiarovana ny milina virtoaly, ny hypervisor ary ny mpizara. Nangataka fanazavana tamin’ny Banky Foibe izahay. Nanahiran-tsaina anay ny valiny.
GOST sy virtoaly
Hanombohana, andeha hotsaroantsika fa ny GOST R 57580 dia fenitra vaovao izay mamaritra ny "takina amin'ny fiantohana ny fiarovana ny fampahalalana momba ny fikambanana ara-bola" (FI). Ireo FI ireo dia ahitana mpandraharaha sy mpandray anjara amin'ny rafitra fandoavam-bola, fikambanana mpampindram-bola sy tsy mpampindram-bola, ivon-toeram-piasana sy fanadiovana.
Manomboka ny 1 janoary 2021, ny FI dia tsy maintsy manao izany . Izahay, ITGLOBAL.COM, dia orinasa mpanara-maso izay manao fanombanana toy izany.
GOST dia manana fizarana natokana ho an'ny fiarovana ny tontolo virtoaly - No. 7.8. Ny teny hoe "virtualization" dia tsy voafaritra ao; tsy misy fizarana amin'ny virtoaly hardware sy container. Ny manam-pahaizana momba ny IT rehetra dia hilaza fa amin'ny lafiny ara-teknika dia tsy mety izany: ny milina virtoaly (VM) sy ny fitoeran-javatra dia tontolo samy hafa, miaraka amin'ny fitsipika fitokanana samihafa. Raha jerena ny faharefoan'ny mpampiantrano izay ametrahana ny kaontenera VM sy Docker dia fiovana lehibe ihany koa izany.
Hita fa tokony ho hafa koa ny fanombanana ny fiarovana ny mombamomba ny VM sy ny container.
Ny fanontanianay amin'ny Banky Foibe
Nalefanay tany amin’ny Sampan-draharahan’ny Fiarovana ny Fampahalalam-baovao ao amin’ny Banky Foibe izy ireo (asehonay amin’ny endrika fanafohezana ireo fanontaniana).
- Ahoana ny fiheverana ireo kaontenera virtoaly karazana Docker rehefa manombana ny fanarahan-dalàna amin'ny GOST? Mety ve ny fanombanana ny teknolojia mifanaraka amin'ny fizarana 7.8 amin'ny GOST?
- Ahoana ny fanombanana fitaovana fitantanana container virtoaly? Azo atao ve ny mampitovy azy ireo amin'ny singa virtoaly amin'ny serivisy ary manombana azy ireo araka ny fizarana mitovy amin'ny GOST?
- Mila manombatombana misaraka ve ny fiarovana ny fampahalalana ao anaty container Docker? Raha eny, inona no fiarovana tokony hodinihina amin'izany mandritra ny dingan'ny fanombanana?
- Raha ampitovina amin'ny fotodrafitrasa virtoaly ny containerization ary tombanana araka ny fizarana 7.8, ahoana no fampiharana ny fepetra GOST amin'ny fampiharana ireo fitaovana fiarovana manokana momba ny fampahalalam-baovao?
Valin'ny Banky Foibe
Ireto ambany ireto ny ampahany lehibe indrindra.
"GOST R 57580.1-2017 dia mametraka fepetra takiana amin'ny fampiharana amin'ny alàlan'ny fampiharana ny fepetra ara-teknika mifandraika amin'ireto fepetra manaraka ireto ZI fizarana 7.8 an'ny GOST R 57580.1-2017, izay, araka ny hevitry ny Departemanta, dia azo itarina amin'ny trangan'ny fampiasana virtoaly container. teknolojia, amin'ny fiheverana ireto manaraka ireto:
- ny fampiharana ny fepetra ZSV.1 - ZSV.11 amin'ny fandaminana ny famantarana, ny fanamarinana, ny fanomezan-dàlana (fifehezana ny fidirana) rehefa mampihatra ny fidirana lojika amin'ny milina virtoaly sy ny singa mpizara virtoaly dia mety tsy hitovy amin'ny tranga amin'ny fampiasana teknolojia virtoaly virtoaly. Raha raisina izany, mba hampiharana fepetra maromaro (ohatra, ZVS.6 sy ZVS.7), dia mino izahay fa azo atao ny manoro hevitra fa ny andrim-panjakana ara-bola dia mamolavola fepetra fanonerana izay hanatratra tanjona mitovy;
- ny fampiharana ny fepetra ZSV.13 - ZSV.22 ho an`ny fandaminana sy ny fanaraha-maso ny vaovao fifandraisana ny milina virtoaly manome ho an`ny segmentation ny solosaina tambajotra ny fikambanana ara-bola mba hanavaka ny informatization zavatra izay mampihatra virtoaly teknolojia sy an`ny samy hafa fiarovana faritra. Raha raisina an-tsaina izany, mino izahay fa tsara ny manome fizarana mifanaraka amin'ny fampiasana ny teknolojia virtoaly virtoaly (samy mifandraika amin'ny container virtoaly azo tanterahina na mifandraika amin'ny rafitra virtoaly ampiasaina amin'ny ambaratongan'ny rafitra miasa);
- ny fampiharana ny fepetra ZSV.26, ZSV.29 - ZSV.31 mba handaminana ny fiarovana ny sarin'ny milina virtoaly dia tokony hatao amin'ny alalan'ny fanoharana ihany koa mba hiarovana ny sary fototra sy ankehitriny ny fitoeran-javatra virtoaly;
- ny fampiharana ny fepetra ZVS.32 - ZVS.43 amin'ny firaketana ny hetsika fiarovana ny vaovao mifandraika amin'ny fidirana amin'ny milina virtoaly sy ny singa virtoaly amin'ny server dia tokony hatao amin'ny alàlan'ny fanoharana ihany koa mifandraika amin'ny singa amin'ny tontolo virtoaly izay mampihatra ny teknolojia virtoaly virtoaly.
Inona no dikan'izany
Fehin-kevitra roa lehibe avy amin'ny valintenin'ny Departemantan'ny Fiarovam-baovaon'ny Banky Foibe:
- ny fepetra hiarovana ny kaontenera dia tsy misy hafa amin'ny fepetra hiarovana ny milina virtoaly;
- Avy amin'izany, ao anatin'ny tontolon'ny fiarovana ny vaovao, ny Banky Foibe dia mampitovy karazana virtoaly roa - containers Docker sy VMs.
Ny valin-teny ihany koa dia miresaka momba ny "fepetra fanonerana" izay tokony hampiharina mba hialana amin'ny fandrahonana. Tsy fantatra mazava hoe inona ireo "fepetra fanonerana" ireo sy ny fomba handrefesana ny fahatomombanana, ny fahafenoana ary ny fahombiazany.
Inona no tsy mety amin’ny toeran’ny Banky Foibe ?
Raha mampiasa ny tolo-kevitry ny Banky Foibe ianao mandritra ny fanombanana (sy ny fanombanana ny tena), dia mila mamaha olana ara-teknika sy lojika maromaro ianao.
- Ny kaontenera azo tanterahana tsirairay dia mitaky ny fametrahana rindrambaiko fiarovana amin'ny fampahalalam-baovao (IP) eo aminy: antivirus, fanaraha-maso ny fahamendrehana, miasa miaraka amin'ny logs, rafitra DLP (Data Leak Prevention), sy ny sisa. Izany rehetra izany dia azo apetraka amin'ny VM tsy misy olana, fa amin'ny tranga misy kaontenera, ny fametrahana fiarovana ny fampahalalana dia fihetsika tsy misy dikany. Ny kaontenera dia ahitana ny "kitapo vatana" kely indrindra ilaina amin'ny asa fanompoana. Ny fametrahana SZI ao anatiny dia mifanohitra amin'ny dikany.
- Ny sarin'ny fitoeran-javatra dia tokony harovana araka ny fitsipika mitovy; tsy mazava koa ny fomba fampiharana izany.
- Ny GOST dia mitaky famerana ny fidirana amin'ireo singa virtoaly amin'ny server, izany hoe amin'ny hypervisor. Inona no heverina ho singa mpizara amin'ny raharaha Docker? Moa ve izany tsy midika fa ny kaontenera tsirairay dia mila mandeha amin'ny mpampiantrano manokana?
- Raha ho an'ny virtoaly mahazatra dia azo atao ny mametra ny VM amin'ny alàlan'ny sisin'ny fiarovana sy ny fizarana tambajotra, amin'ny tranga Docker ao anatin'ny mpampiantrano iray dia tsy izany no izy.
Amin'ny fampiharana, azo inoana fa ny mpanara-maso tsirairay dia handinika ny fiarovana ny kaontenera amin'ny fombany manokana, mifototra amin'ny fahalalany sy ny traikefany. Eny, na aza manombana izany mihitsy, raha tsy misy na iray na iray.
Raha sanatria, ampianay fa manomboka ny 1 Janoary 2021, ny isa ambany indrindra dia tsy tokony ho ambany noho ny 0,7.
Raha ny tokony ho izy, dia mandefa valiny sy fanehoan-kevitra tsy tapaka avy amin'ny mpandrindra mifandraika amin'ny fepetra takian'ny GOST 57580 sy ny Fitsipika Banky Foibe izahay .
Inona no tokony hatao?
Araka ny hevitray dia roa ihany no safidy hamahana ny olana ny fikambanana ara-bola.
1. Fadio ny fametrahana kaontenera
Vahaolana ho an'ireo izay vonona ny hampiasa afa-tsy virtoaly virtoaly ary matahotra ny ambany naoty araka ny GOST sy ny lamandy avy amin'ny Banky Foibe.
A plus: mora kokoa ny manaraka ny fepetra takian'ny fizarana 7.8 an'ny GOST.
Minus: Tsy maintsy miala amin'ny fitaovana fampandrosoana vaovao mifototra amin'ny virtoaly container isika, indrindra ny Docker sy Kubernetes.
2. Mandà tsy hanaraka ny fepetra takian'ny fizarana 7.8 an'ny GOST
Fa miaraka amin'izay koa, ampiharo ny fomba fanao tsara indrindra amin'ny fiantohana ny fiarovana ny vaovao rehefa miasa miaraka amin'ny kaontenera. Vahaolana ho an'ireo izay manome lanja ny teknolojia vaovao sy ny fahafahana omeny izany. Amin'ny alàlan'ny "fomba fanao tsara indrindra" dia midika hoe fitsipika sy fenitra eken'ny indostria hiantohana ny fiarovana ny fitoeran'entana Docker:
- fiarovana ny OS mpampiantrano, fandrarana ny fifanakalozam-baovao eo amin'ny kaontenera, sy ny sisa;
- mampiasa ny asa Docker Trust mba hijerena ny fahamarinan'ny sary sy ny fampiasana ny scanner vulnerability naorina;
- Tsy tokony hohadinointsika ny momba ny fiarovana ny fidirana lavitra sy ny modely amin'ny tambajotra amin'ny ankapobeny: tsy nofoanana ny fanafihana toy ny ARP-spoofing sy ny MAC-flooding.
A plus: tsy misy famerana ara-teknika amin'ny fampiasana virtoaly container.
Minus: be dia be ny mety hanasaziana ny mpandrindra ny tsy fanarahan-dalàna amin'ny fepetra GOST.
famaranana
Nanapa-kevitra ny tsy hanary kaontenera ny mpanjifanay. Nandritra izany fotoana izany, dia tsy maintsy nandinika lalina ny sehatry ny asa sy ny fotoana ny tetezamita ho Docker (naharitra enim-bolana). Mahatakatra tsara ny risika ny mpanjifa. Takany ihany koa fa mandritra ny fanombanana manaraka ny fanarahan-dalàna amin'ny GOST R 57580, dia hiankina betsaka amin'ny mpanadihady.
Inona no hataonao amin'io toe-javatra io?
Source: www.habr.com