Seguridad en el borde de la red: redes internas definidas por software program y Kubernetes


Los problemas de seguridad siguen siendo importantes en todos los entornos de pink, con algunos exclusivos para el borde de la crimson, SDN y otros servicios. Obtenga algunos consejos de expertos de la industria.

«data-credit =» Imagen: gorodenkoff, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Curios Ingeniero de TI de pie en medio de una sala de servidores del centro de datos en funcionamiento Visualización de iconos de nube e Internet en primer plano.

Imagen: gorodenkoff, Getty Visuals / iStockphoto

La seguridad de la purple es un desafío que implica una complejidad directamente proporcional a la del entorno. Asegurar subredes, conmutadores, enrutadores y cortafuegos es un campo bastante tradicional, pero la seguridad se complica mucho con conceptos como el borde de la crimson, las redes definidas por software package (SDN) y otros servicios novedosos.

VER: Política de seguridad de red (TechRepublic Quality)

Hablé sobre los conceptos con Tom Nadeau, director técnico, NFV en Pink Hat Linux, y Bassam Khan, vicepresidente de Ingeniería de Mercadeo Técnico y de Producto en Gigamon, un proveedor de análisis de redes.

Scott Matteson: ¿Qué preocupaciones de seguridad prevalecen en el borde de la pink, dentro del SDN y entre los servicios?

Tom Nadeau: Según nuestra experiencia de implementación, las mayores preocupaciones de seguridad parecen provenir de cómo se configura la plataforma, cómo se construyen y ejecutan las cargas de trabajo en contenedores, así como de la auditoría de la plataforma misma. En cuanto a la configuración de la plataforma, hicimos un gran impulso para que OpenShift 4. se centre en las operaciones y las mejoras de gestión. Además de esto, hemos progresado The Operator Framework, que esencialmente estandariza cómo se instalan, inician, operan las cargas de trabajo del contenedor (es decir, eventos manejados, autoescalado, etc.) y se apaga.

También hemos trabajado mucho en Imagen base common (UBI), que es una forma bien estructurada y bien automatizada de crear una base segura y conocida para contenedores que pueden actualizarse y parchearse en el futuro sin intervención del operador, manteniendo automáticamente los últimos parches, incluidos aquellos relacionados con la seguridad, disponible. Finalmente, también estamos creando activamente nuestro Certificación de la función de purple de contenedores programa internamente, que será un medio para verificar y certificar todas estas cosas que acabo de describir.

Bassam Khan: A medida que las redes públicas se acerquen a datos previamente «este-oeste», el borde de la pink experimentará amenazas y riesgos que probablemente se propagarán a través de redes, aplicaciones y sistemas causando más daño a las organizaciones si se ven comprometidas. Además, mucha información puede verse comprometida si los conmutadores, enrutadores y servidores no están protegidos adecuadamente. Si bien SDN aporta muchos beneficios a las redes, plantea nuevas amenazas, como la superficie de ataque en entornos virtualizados y en la nube.

Scott Matteson: ¿Cuáles son los remedios recomendados para abordar esas preocupaciones?

VER: VPN: selección de un proveedor y consejos para la solución de problemas (PDF gratuito) (TechRepublic)

Bassam Khan: Hay muchas medidas de seguridad recomendadas para proteger el borde de la red y SDN. Estos consisten en cifrar los datos, microsegmentar la purple para admitir los diferentes tipos de aplicaciones, métodos de túnel y regulate de acceso, y mucho más. Por último, entire la visibilidad L3-7 consciente del contexto, ofreciendo una visión general multidimensional de las aplicaciones: visualización, identificación y filtrado de aplicaciones que se ejecutan en la pink, con una rica extracción de atributos / metadatos y análisis que examina el comportamiento de la red, la aplicación y El usuario es very important.

Scott Matteson: ¿Cómo está cambiando Kubernetes la pink?

Tom Nadeau: Kubernetes ha cambiado el panorama no solo de microservicios y contenedores, sino que también ha cambiado la percepción del mercado de lo que se puede hacer con una plataforma en contenedores. Otras plataformas competidoras se quedaron con lo que resultó ser un modelo demasiado simplificado para la creación de redes, como el modelo inicial con el que la plataforma Kubernetes salió al mercado. Esa es específicamente una interfaz única y virtualizada que se presenta a un contenedor con pocas o ninguna opción sobre cómo se configura.

Peor aún, esa interfaz emplea una asignación de traducción de dirección de purple localizada, ya que finalmente se asigna a una única interfaz física subyacente. El modelo de interfaz única por contenedor también limita artificialmente otras configuraciones, incluidas las funciones de red multicast o virtualizadas, como enrutadores virtuales, que dependen del acceso a múltiples interfaces para realizar la función para la que están diseñadas.

Bassam Khan: Kubernetes desempeña un papel clave en la construcción de un sistema distribuido resistente y escalable para aplicaciones a medida que las organizaciones adoptan contenedores. Kubernetes le da a cada pod en redes su propia dirección IP, esto permite que los pods se comuniquen entre sí sin el uso de NAT. Además, Kubernetes permite redes menos complejas, ya que comparte máquinas entre diferentes aplicaciones y resuelve varios problemas a través de las redes.

VER: Guía de seguridad de Kubernetes (PDF gratuito) (TechRepublic)

Scott Matteson: ¿Cuáles son las ventajas involucradas?

Tom Nadeau: Para abordar estas deficiencias, hemos trabajado con las comunidades de aguas arriba, nuestros socios y clientes para crear nuevas tecnologías que aborden las deficiencias que acabamos de mencionar. Estos incluyen Multus, que agrega soporte para conectar múltiples interfaces de pink de alta velocidad a contenedores. Además, hemos creado virtio / vDPA para ir de la mano con la tendencia a descargar las operaciones de reenvío / procesamiento de la purple a las tarjetas de interfaz de pink (NIC), pero también para simplificar y unificar cómo se conectan los contenedores a esos recursos de una manera que requiera un solo punto de configuración en lugar de muchos.

También hemos realizado numerosas mejoras SR-IOV para ayudar también en esta nueva funcionalidad. Finalmente, también hemos incluido operadores dentro del Marco del operador, abordando los comentarios operativos que hemos recibido sobre las complejidades de la configuración y el funcionamiento de los contenedores, el sistema subyacente y la red que los conecta a todos.

Bassam Khan: La principal ventaja de Kubernetes es que cada pod lleva su propia dirección IP. Esto permite una comunicación fácil, fluida y segura entre pods, pods y servicios y contenedores. Además, da paso a un modelo limpio, ya que no hay necesidad de mapear entre hosts y pods, ya que cada pod se ve ahora como una VM.

Scott Matteson: ¿Cómo evolucionará Kubernetes en el futuro?

Tom Nadeau: Estamos trabajando arduamente en una variedad de áreas, incluida la extensión del alcance de vDPA al trabajar en estrecha colaboración con casi todos los proveedores de NIC en el planeta para permitir el soporte allí y corriente arriba. También estamos mejorando activamente Multus para cosas como el soporte de IPv6, funciones de multidifusión adicionales como otras funciones de escalado. También seguimos mejorando operadores. Estamos trabajando en algunas mejoras nuevas e interesantes en torno a las posibilidades de las llamadas NIC inteligentes: NIC que tienen complejos de CPU / NPU auxiliares para casos de uso mejorados de procesamiento de descarga de hardware. Finalmente, estamos haciendo mucho en las áreas de redes de área de radio virtualizadas (vRAN) y computación de borde móvil (MEC) en términos de procesamiento en tiempo authentic, temporización y mejoras relacionadas para admitir estos casos de uso.

Bassam Khan: Aunque Kubernetes está cambiando el mundo de las redes, todavía es nuevo y tiene mucho espacio para evolucionar en el futuro. Uno de los principales desafíos es la complejidad en la adaptación de este sistema. La red requiere un rediseño de la infraestructura de los usuarios anteriores, por lo tanto, requiere dinero y tiempo del cliente, lo que hace que el sistema sea ligeramente indeseable. Con la evolución y la nueva prevalencia creciente del sistema, también ha habido riesgos de seguridad. En el futuro, Kubernetes deberá buscar una forma más fácil de adaptar el sistema y agregar mejores medidas de seguridad.

Ver también



Enlace a la noticia authentic