WEBVTT

00:00.150 --> 00:01.770
-: يُعرف النوع الأحدث من المحاكاة الافتراضية

00:01.770 --> 00:03.540
الذي أصبح شائعًا في شبكاتنا باسم المحاكاة

00:03.540 --> 00:05.790
الافتراضية القائمة على الحاوية والمعروفة أيضًا باسم

00:05.790 --> 00:07.980
المحاكاة الافتراضية للحاويات.

00:07.980 --> 00:10.290
يركز هذا النوع من المحاكاة الافتراضية بشكل

00:10.290 --> 00:12.780
أكبر على الخوادم بدلاً من المستخدم النهائي.

00:12.780 --> 00:14.460
مع هذا النوع من المحاكاة الافتراضية،

00:14.460 --> 00:16.440
تتم مشاركة نواة نظام التشغيل عبر

00:16.440 --> 00:19.440
أجهزة ظاهرية متعددة، ولكن يتم إنشاء مساحة المستخدم

00:19.440 --> 00:22.740
لكل جهاز ظاهري وإدارتها بشكل فريد.

00:22.740 --> 00:25.020
تعد الحاوية أحد أنواع المحاكاة الافتراضية

00:25.020 --> 00:27.900
التي يتم تطبيقها بواسطة نظام تشغيل مضيف لتوفير

00:27.900 --> 00:31.230
بيئة تنفيذ معزولة لأحد التطبيقات.

00:31.230 --> 00:33.390
تعتبر الحاويات آمنة إلى حد

00:33.390 --> 00:35.370
ما لأنها تفرض تجزئة الموارد

00:35.370 --> 00:38.280
وفصلها على مستوى نظام التشغيل.

00:38.280 --> 00:40.290
يتم الآن استخدام الحاويات بشكل شائع

00:40.290 --> 00:42.210
مع خوادم Linux وتشمل بعض الأمثلة

00:42.210 --> 00:43.950
على هذه المحاكاة الافتراضية

00:43.950 --> 00:46.980
القائمة على الحاويات أشياء مثل مشروع Docker وParallels

00:46.980 --> 00:48.960
Virtuozzo وOpenVZ.

00:48.960 --> 00:51.870
والآن، كيف تبدو عملية النقل بالحاويات حقًا؟

00:51.870 --> 00:53.610
حسنًا، لديك قطعة من الأجهزة،

00:53.610 --> 00:56.460
ثم فوق تلك الأجهزة، لديك نظام تشغيل مضيف،

00:56.460 --> 00:59.430
عادةً Linux، ثم لديك مدير حاوية.

00:59.430 --> 01:02.820
شيء مثل Kubernetes أو Docker أو شيء من هذا القبيل.

01:02.820 --> 01:05.100
سيتم الآن استخدام مدير الحاوية هذا لإنشاء

01:05.100 --> 01:08.070
حاويات مختلفة تحتوي على تطبيقات مختلفة.

01:08.070 --> 01:10.290
في هذه الحالة، لدي ثلاث حاويات.

01:10.290 --> 01:12.000
لدي البيئة الأولى، والتي تعتمد

01:12.000 --> 01:14.340
على نواة نظام التشغيل المضيف، في هذا المثال،

01:14.340 --> 01:16.170
نظام Linux الذي يتم استخدامه.

01:16.170 --> 01:18.720
وبالتالي لدينا حاوية واحدة تعمل بنظام Linux

01:18.720 --> 01:20.700
وتحتوي على بعض التطبيقات هناك.

01:20.700 --> 01:23.130
الآن، يمكن للحاوية الثانية أن تفعل الشيء نفسه، ويمكن

01:23.130 --> 01:25.290
للحاوية الثالثة أن تفعل الشيء نفسه.

01:25.290 --> 01:27.210
نظرًا لأن الحاويات الثلاث تشترك في

01:27.210 --> 01:28.980
نفس ملفات نظام التشغيل المضيف.

01:28.980 --> 01:30.750
يتطلب هذا موارد أقل بكثير من إجراء المحاكاة

01:30.750 --> 01:33.690
الافتراضية الخالصة باستخدام الأجهزة الافتراضية.

01:33.690 --> 01:35.730
كما تحدثنا عن المحاكاة الافتراضية.

01:35.730 --> 01:38.340
إذا استخدمنا أجهزة افتراضية فردية بدلاً من ذلك، فستحتاج

01:38.340 --> 01:40.860
كل واحدة منها إلى نسختها الخاصة من نظام التشغيل.

01:40.860 --> 01:43.740
ويمكن أن يكون ذلك من 8 إلى 10 غيغابايت لكل واحد.

01:43.740 --> 01:45.000
ولكن مع الحاويات، يمكننا

01:45.000 --> 01:47.280
جميعًا مشاركة نفس نظام التشغيل.

01:47.280 --> 01:50.250
لذا فإن النقل بالحاويات يستخدم قاعدة تخزين أقل بكثير

01:50.250 --> 01:52.260
ويستهلك طاقة معالجة أقل بكثير.

01:52.260 --> 01:55.050
هذه هي الفائدة الحقيقية لاستخدام شيء مثل

01:55.050 --> 01:56.970
الحاوية من منظور تشغيلي.

01:56.970 --> 01:59.970
الآن، لأن هذه الحاويات معزولة منطقيا.

01:59.970 --> 02:02.100
لا يمكنهم في الواقع التفاعل مع بعضهم البعض.

02:02.100 --> 02:04.080
إذا أردت أن أتحدث بين حاويتين، فعليّ أن

02:04.080 --> 02:06.480
أقوم بتوصيلهما من خلال شبكة افتراضية وأن أقوم

02:06.480 --> 02:07.890
بالتوجيه والتبديل الصحيحين

02:07.890 --> 02:09.330
للسماح لهما بالتحدث.

02:09.330 --> 02:11.970
بشكل افتراضي، ليس لديهم طريقة للتحدث مع

02:11.970 --> 02:14.310
بعضهم البعض وهذا شيء عظيم من وجهة نظر

02:14.310 --> 02:16.410
أمنية لأن لدينا هذا التقسيم.

02:16.410 --> 02:18.810
الآن، إليك تحذيرك الكبير عندما يتعلق الأمر بالتعامل

02:18.810 --> 02:20.010
مع الحاويات.

02:20.010 --> 02:22.890
إذا قام أحد المهاجمين باختراق نظام التشغيل المضيف

02:22.890 --> 02:24.990
الموجود تحته، على سبيل المثال، نظام التشغيل

02:24.990 --> 02:27.960
Linux الذي كنت أناقشه للتو، خمن ماذا يحدث؟

02:27.960 --> 02:30.810
حسنًا، أصبح لهذا الهجوم الآن إمكانية الوصول إلى جميع الحاويات

02:30.810 --> 02:33.270
الموجودة في بياناتها، نظرًا لأن نظام التشغيل هذا يُستخدم

02:33.270 --> 02:35.790
من قبل جميع الحاويات التي تتم استضافتها.

02:35.790 --> 02:37.440
هذه واحدة من أكبر نقاط الضعف

02:37.440 --> 02:38.820
عند استخدام الحاويات.

02:38.820 --> 02:40.470
يمكنني الحصول على نظام حاوية يقوم بتشغيل

02:40.470 --> 02:42.240
50 خادمًا مختلفًا في الوقت الحالي.

02:42.240 --> 02:43.980
ويقوم كل واحد منها بتشغيل خوادم

02:43.980 --> 02:46.230
وخدمات مختلفة باستخدام الحاويات.

02:46.230 --> 02:49.050
ولكن إذا كان شخص ما قادرًا على الوصول إلى هذا الخادم الوحيد

02:49.050 --> 02:52.020
الموجود ضمن نظام التشغيل Linux، فيمكنه الآن الوصول إلى

02:52.020 --> 02:55.290
جميع هذه الخوادم الخمسين المستضافة وجميع بياناتها.

02:55.290 --> 02:57.480
هناك خطر آخر يجب مراعاته وهو كيفية استضافة

02:57.480 --> 03:00.390
حاوياتك والأجهزة الافتراضية الأخرى فعليًا.

03:00.390 --> 03:03.210
بمجرد أن نبدأ في الاعتماد على المحاكاة الافتراضية والحوسبة

03:03.210 --> 03:05.040
السحابية، يصبح من المهم جدًا أن ندرك

03:05.040 --> 03:07.680
أن بياناتنا قد تتم استضافتها على نفس الخادم الفعلي

03:07.680 --> 03:09.660
مثل بيانات مؤسسة أخرى.

03:09.660 --> 03:12.120
ومن خلال القيام بذلك، فإننا نقدم بعض نقاط

03:12.120 --> 03:13.920
الضعف في أمان أنظمتنا.

03:13.920 --> 03:16.950
أولاً، إذا تعطل الخادم الفعلي بسبب شيء تفعله إحدى

03:16.950 --> 03:18.960
المؤسسات الأخرى، فيمكن أن يؤثر ذلك

03:18.960 --> 03:19.880
فعليًا على جميع

03:19.880 --> 03:22.500
المؤسسات الموجودة على نفس الخادم.

03:22.500 --> 03:24.960
وبالمثل، إذا لم تحافظ إحدى المؤسسات على

03:24.960 --> 03:26.760
أمان بيئاتها الافتراضية، حيث

03:26.760 --> 03:28.740
تتم استضافتها على ذلك الخادم الفعلي،

03:28.740 --> 03:31.470
فهناك احتمال أن يتمكن المهاجم من استغلال ذلك

03:31.470 --> 03:33.900
على حساب جميع المؤسسات الأخرى المستضافة

03:33.900 --> 03:35.880
على نفس الخادم.

03:35.880 --> 03:38.220
مثلما توجد مخاوف عند ربط شبكاتنا بشبكات

03:38.220 --> 03:40.170
شخص آخر، هناك أيضًا مخاوف بشأن

03:40.170 --> 03:42.210
استضافة بيانات مؤسسات متعددة على

03:42.210 --> 03:44.010
نفس الخادم الفعلي.

03:44.010 --> 03:46.530
من المهم بالنسبة لنا تكوين وإدارة وتدقيق وصول المستخدم

03:46.530 --> 03:48.780
إلى الأجهزة الافتراضية التي تتم استضافتها

03:48.780 --> 03:50.820
على تلك الخوادم بشكل صحيح.

03:50.820 --> 03:53.850
نريد أيضًا التأكد من أن أجهزتنا الافتراضية تحتوي على

03:53.850 --> 03:56.580
أحدث التصحيحات وبرامج مكافحة الفيروسات وAnimwire

03:56.580 --> 03:58.410
والتحكم في الوصول.

03:58.410 --> 03:59.760
من أجل تقليل مخاطر إرهاق

03:59.760 --> 04:02.490
موارد الخوادم الفعلية، من الجيد دائمًا

04:02.490 --> 04:04.920
إعداد أجهزتنا الافتراضية مع تجاوز

04:04.920 --> 04:08.280
الفشل والتكرار والمرونة بشكل مناسب.

04:08.280 --> 04:09.810
من خلال مراقبة أداء الشبكة

04:09.810 --> 04:11.610
وموارد الخوادم الفعلية، يجب أن

04:11.610 --> 04:13.500
نكون قادرين على موازنة التحميل عبر

04:13.500 --> 04:15.570
العديد من الأجهزة المادية بدلاً من الاعتماد

04:15.570 --> 04:17.370
على جهاز واحد فقط.

04:17.370 --> 04:19.290
هناك ثغرة أمنية أخرى قد يستغلها المهاجم

04:19.290 --> 04:21.330
وهي عندما نستخدم نفس النوع من برنامج

04:21.330 --> 04:24.420
Hypervisor عبر جميع أجهزتنا الافتراضية.

04:24.420 --> 04:27.180
لذلك، على سبيل المثال، إذا كانت مؤسستنا تعتمد

04:27.180 --> 04:29.700
فقط على برنامج Hypervisor ESXi الخاص بشركة

04:29.700 --> 04:32.280
VMware وتم إنشاء استغلال جديد لبرنامج Hypervisor

04:32.280 --> 04:35.790
هذا، فيمكن للمهاجم استخدام ذلك ضد جميع أنظمتنا.

04:35.790 --> 04:38.400
لذا، إذا نجح الأمر على أحد خوادمنا، فمن

04:38.400 --> 04:40.830
المرجح أن يجربوه على بقية خوادمنا.

04:40.830 --> 04:43.260
وإذا كانت جميع خوادمنا تستخدم نفس النظام

04:43.260 --> 04:46.410
الأساسي في هذه الحالة، VMware’s ESXi، فمن الممكن استغلال

04:46.410 --> 04:49.350
هذه الثغرة الأمنية عبر مؤسستنا بأكملها.

04:49.350 --> 04:51.420
ومع ذلك، فإن التحدي في هذا الأمر هو أنه

04:51.420 --> 04:53.700
إذا استخدمنا منصات متعددة لبرنامج Hypervisor،

04:53.700 --> 04:55.620
فإن تكاليف الدعم ومتطلبات التدريب

04:55.620 --> 04:57.360
لدينا ستزداد أيضًا.

04:57.360 --> 05:00.090
ولهذا السبب تختار معظم المؤسسات استخدام منصة

05:00.090 --> 05:02.610
واحدة، ولكنها على الأقل تتخذ قرارًا محسوبًا

05:02.610 --> 05:04.800
بشأن المخاطر عندما تفعل ذلك.

05:04.800 --> 05:07.290
للتخفيف من هذه المخاطر، يجب على المؤسسة استخدام

05:07.290 --> 05:09.690
التكوينات المناسبة، والتأكد من بقاء برنامج Hypervisor

05:09.690 --> 05:11.520
دائمًا مصححًا ومحدثًا ولا يمكن الوصول

05:11.520 --> 05:14.280
إليه إلا من خلال واجهة إدارة آمنة، بالإضافة إلى التحكم

05:14.280 --> 05:16.830
الدقيق في التحكم في الوصول.

05:16.830 --> 05:19.230
الآن، هذه بعض الأشياء التي يجب عليك مراعاتها

05:19.230 --> 05:21.570
عند البدء في تحقيق النجاح إذا كنت تريد إضفاء

05:21.570 --> 05:23.880
الطابع الافتراضي على أنظمتك وترحيلها إلى حل

05:23.880 --> 05:25.410
محلي أو قائم على السحابة.

05:25.410 --> 05:27.540
أولاً، هل ستقوم بالمحاكاة الافتراضية؟

05:27.540 --> 05:30.360
إذا كان الأمر كذلك، فهل ستستخدم الأجهزة الافتراضية التقليدية

05:30.360 --> 05:32.430
أم أنك ستستخدم النقل بالحاويات؟

05:32.430 --> 05:34.410
ما هو الخطر مقابل المكافأة هنا؟

05:34.410 --> 05:35.970
هناك عملية موازنة عليك القيام بها.

05:35.970 --> 05:37.230
إنه قرار تجاري وهو

05:37.230 --> 05:39.780
أيضًا قرار يتعلق بالأمن السيبراني.

05:39.780 --> 05:41.460
ولذلك سيتعين عليك قياس هذه الأشياء

05:41.460 --> 05:44.100
وتحديد الأفضل لاختياره لمؤسستك وحالات الاستخدام

05:44.100 --> 05:45.723
الخاصة بها.