¿Por qué participan todas estas empresas en la Iniciativa de Contenedores Abiertos?

La idea de la OCI es garantizar que los componentes fundamentales de la tecnología de contenedores (como el formato de los contenedores) estén estandarizados para que todos puedan aprovecharlos.

Esto significa que, en lugar de gastar recursos en el desarrollo de tecnologías de contenedores que compiten entre sí, las organizaciones pueden centrarse en el desarrollo del software adicional necesario para apoyar el uso de contenedores estandarizados en un entorno empresarial o en la nube. El tipo de software necesario incluye sistemas de orquestación y gestión de contenedores y sistemas de seguridad de contenedores.

¿Existen sistemas de gestión de contenedores de código abierto y gratuitos?

Sí. Probablemente el sistema de gestión de contenedores gratuito y de código abierto más conocido y utilizado sea Kubernetes, que es un proyecto de software originado en Google. Kubernetes proporciona mecanismos para desplegar, mantener y escalar aplicaciones en contenedores

¿Qué soluciones comerciales de gestión de contenedores existen hoy en día?

Docker Enterprise Edition es quizás la solución comercial de gestión de contenedores más conocida. Ofrece una plataforma integrada, probada y certificada para aplicaciones que se ejecutan en sistemas operativos empresariales Linux o Windows y en proveedores de la nube.

Pero hay muchas otras, y varias notables tienen una capa de software propietario construida alrededor de Kubernetes en el núcleo. Algunos ejemplos de este tipo de productos de software de gestión son:

Tectonic de CoreOS, que preempaqueta todos los componentes de código abierto necesarios para construir una infraestructura al estilo de Google y añade características comerciales adicionales, como una consola de gestión, integración de SSO corporativa y Quay, un registro de contenedores preparado para la empresa.

Open Shift Container Platform de Red Hat es un producto de plataforma privada como servicio en las instalaciones, construido en torno a un núcleo de contenedores de aplicaciones impulsado por Docker, con orquestación y gestión proporcionada por Kubernetes, sobre una base de Red Hat Enterprise Linux.

Rancher Labs es una solución comercial de código abierto diseñada para facilitar el despliegue y la gestión de contenedores en producción en cualquier infraestructura.

¿Cómo de seguros son los contenedores?

Mucha gente cree que los contenedores son menos seguros que las máquinas virtuales porque si hay una vulnerabilidad en el kernel del contenedor, podría proporcionar una vía de acceso a los contenedores que lo comparten. Esto también es cierto en el caso de un hipervisor, pero dado que un hipervisor proporciona mucha menos funcionalidad que un núcleo de Linux (que normalmente implementa sistemas de archivos, redes, controles de procesos de aplicación, etc.), presenta una superficie de ataque mucho menor.

Pero en los últimos dos años se ha dedicado un gran esfuerzo a desarrollar software para mejorar la seguridad de los contenedores.

Por ejemplo, Docker (y otros sistemas de alquiler de contenedores) incluyen ahora una infraestructura de firma que permite a los administradores firmar las imágenes de los contenedores para evitar que se desplieguen contenedores no fiables.

Sin embargo, no es necesariamente el caso de que un contenedor de confianza y firmado sea seguro de ejecutar, porque pueden descubrirse vulnerabilidades en parte del software del contenedor después de haber sido firmado. Por esta razón, Docker y otros ofrecen soluciones de escaneo de seguridad de contenedores que pueden notificar a los administradores si alguna imagen de contenedor tiene vulnerabilidades que podrían ser explotadas.

También se ha desarrollado un software de seguridad de contenedores más especializado. Por ejemplo, Twistlock ofrece un software que perfila el comportamiento esperado de un contenedor y pone en una "lista blanca" los procesos, las actividades de red (como las direcciones IP y los puertos de origen y destino) e incluso ciertas prácticas de almacenamiento, de modo que pueda señalarse cualquier comportamiento malicioso o inesperado.

Otra empresa especializada en seguridad de contenedores, Polyverse, adopta un enfoque diferente. Aprovecha el hecho de que los contenedores pueden iniciarse en una fracción de segundo para relanzar las aplicaciones en contenedores en un estado bueno conocido cada pocos segundos para minimizar el tiempo que tiene un hacker para explotar una aplicación que se ejecuta en un contenedor.