Catégories
Uncategorized

Sécurité en périphérie du réseau: au sein du réseau logiciel et de Kubernetes

Les problèmes de sécurité sont toujours mis en évidence dans tous les environnements réseau, certains étant uniques aux limites du réseau, du SDN et d’autres services. Découvrez quelques conseils d’initiés de l’industrie.

Curios IT engineer debout au milieu d'un bureau de serveur de centre de données. Icône nuage et internet Visualisation au premier plan.

Image: gorodenkoff, Getty Images / iStockphoto

La sécurité du réseau est un défi qui implique une complexité proportionnelle à la proportion de l’environnement. La sécurisation des sous-réseaux, des commutateurs, des routeurs et des pare-feu est un domaine assez traditionnel, mais la sécurité devient assez délicate avec des concepts tels que la périphérie de réseau, le réseau défini par logiciel (SDN) et d’autres services émergents.

VOIR: Politique de sécurité du réseau (TechRepublic Premium)

J’ai discuté des concepts avec Tom Nadeau, CTO, NFV Red Hat Linux et Bassam Khan, vice-président de la fabrication et de l’ingénierie marketing technique chez Gigamon, un fournisseur d’analyse de réseau.

Scott Matteson: Quels problèmes de sécurité prévalent en périphérie du réseau, au sein du SDN et entre les services?

Tom Nadeau: D’après l’expérience de déploiement, les principaux problèmes de sécurité semblent résulter de la configuration de la plateforme, de la conception et de l’exécution des charges de travail des conteneurs, ainsi que des audits de la plateforme elle-même. En termes de configuration de plateforme, nous avons mis beaucoup de pression sur OpenShift 4.0 pour qu’il se concentre sur les opérations et les améliorations de gestion. En plus de cela, nous avons également progressé au sein de l’Operator Framework, qui normalise essentiellement la façon dont les charges de travail des conteneurs sont installées, démarrées, exécutées (c’est-à-dire gérées par les événements, mise à l’échelle automatique, etc.) et arrêtées.

Nous avons également fait beaucoup de travail sur Universal Base Image (UBI) qui est un moyen bien structuré et bien automatisé de créer une base de données sécurisée bien connue qui peut être mise à jour et corrigée à l’avenir sans aucune intervention de l’opérateur, en gardant automatiquement les derniers correctifs disponibles. y compris ceux autour de la sécurité. Enfin, nous créons également activement en interne notre programme de certification de fonctionnalité de conteneur, qui sera un moyen de vérifier et de valider toutes ces choses que je viens de décrire.

Bassam Khan: À mesure que les réseaux publics approchent des données pré-Est-Ouest, la périphérie du réseau subira des menaces et des risques qui sont les plus susceptibles de se propager sur les réseaux, les applications et les systèmes, causant de plus grands dommages aux organisations s’ils sont compromis. En outre, de nombreuses informations peuvent être compromises si les commutateurs, routeurs et serveurs ne sont pas correctement sécurisés. Bien que SDN apporte de nombreux avantages aux réseaux, il pose de nouvelles menaces telles que des attaques dans des environnements virtualisés et cloud.

Scott Matteson: Quels sont les remèdes recommandés pour résoudre ces problèmes?

VOIR: VPN: sélection des fournisseurs et conseils de dépannage (PDF gratuit) (TechRepublic)

Bassam Khan: Il existe de nombreuses mesures de sécurité recommandées pour protéger les bords du réseau et du SDN. Ils comprennent le chiffrement des données, la segmentation du micro-réseau pour prendre en charge différents types d’applications, la tunnellisation et les méthodes de contrôle d’accès, etc. Enfin, une visibilité L3-7 contextuelle complète, offrant une vue d’ensemble multidimensionnelle des applications: la visualisation, l’identification et le filtrage des applications s’exécutant sur le réseau, avec une extraction et une analyse des attributs / métadonnées riches qui examinent le comportement du réseau, les applications et l’utilisateur est crucial.

Scott Matteson: Comment Kubernetes change-t-il le réseau?

Tom Nadeau: Kubernetes a changé le paysage non seulement des microservices et des conteneurs, mais il a également changé la perception du marché de ce qui peut être fait avec une plate-forme de conteneurs. D’autres plates-formes concurrentes sont restées bloquées, ce qui s’est avéré être un modèle de réseau simplifié à l’excès, similaire au modèle initial avec lequel la plate-forme Kubernetes est arrivée sur le marché. Il s’agit d’une interface virtualisée particulièrement unique qui est présentée au conteneur avec peu, s’il existe des options pour le configurer.

Pire encore, cette interface utilise un mappage de traduction d’adresses réseau localisé, car tout est finalement mappé sur une seule interface physique. Le modèle à conteneur unique par conteneur limite également artificiellement d’autres configurations, notamment les fonctions de réseau multidiffusion ou virtualisées telles que les routeurs virtuels, qui s’appuient sur un accès multi-interface pour exécuter la fonction pour laquelle elles ont été créées.

Bassam Khan: Kubernetes joue un rôle clé dans la construction d’un système d’application distribué résilient et évolutif tandis que les organisations acceptent les conteneurs. Kubernetes donne à chaque branche du réseau sa propre adresse IP, ce qui permet aux sous-sous-ensembles de communiquer entre eux sans utiliser NAT. De plus, Kubernetes permet des réseaux moins complexes car il partage des machines entre différentes applications et résout différents problèmes lors de la mise en réseau.

VOIR: Guide de sécurité Kubernetes (PDF gratuit) (TechRepublic)

Scott Matteson: Quels sont les avantages inclus?

Tom Nadeau: Pour remédier à ces lacunes, nous avons travaillé avec les communautés qui ont progressé, nos partenaires et nos clients pour créer de nouvelles technologies qui répondent aux lacunes mentionnées ci-dessus. Parmi eux, Multus, qui prend en charge la connexion de plusieurs interfaces réseau rapides aux boîtes aux lettres. De plus, nous avons créé virtio / vDPA pour aller de pair avec la tendance de basculer le transfert / traitement opérationnel du réseau vers des cartes d’interface réseau (NIC), mais aussi pour simplifier et consolider la façon dont les conteneurs sont liés à ces ressources d’une manière qui nécessite un point de configuration unique , pas beaucoup.

Nous avons également apporté un certain nombre d’améliorations SR-IOV pour aider également à cette nouvelle fonctionnalité. Enfin, nous avons également inclus des opérateurs dans Operator Framework, répondant aux commentaires opérationnels que nous avons reçus sur la complexité de la configuration et de l’exploitation du conteneur, du système sous-jacent et du réseau qui les relie tous ensemble.

Bassam Khan: Le principal avantage de Kubernetes est que chaque étage a sa propre adresse IP. Cela permet une communication facile, fluide et sécurisée entre les modules, les conteneurs et les services et les conteneurs. De plus, il cède la place à un modèle pur, car il n’est pas nécessaire de mapper entre l’hôte et les pods, car chaque pod est considéré comme une machine virtuelle.

Scott Matteson: Comment Kubernetes se développera-t-il à l’avenir?

Tom Nadeau: Nous travaillons dur dans divers domaines, notamment en élargissant la portée de vDPA en travaillant en étroite collaboration avec presque tous les fournisseurs de cartes réseau de la planète pour fournir une assistance là-bas et en amont. Multus améliore également Multus pour des choses comme la prise en charge IPv6, des fonctions de multidiffusion supplémentaires ainsi que d’autres fonctionnalités de mise à l’échelle. Nous continuons d’améliorer les opérateurs. Nous travaillons sur de nouvelles améliorations intéressantes autour des capacités des NIC dites intelligentes: des NIC qui ont des complexes CPU / NPU auxiliaires pour des cas d’utilisation matérielle de redémarrage améliorés. Enfin, nous faisons beaucoup de travail dans les domaines des zones radio virtualisées (vRAN) et de l’informatique mobile (MEC) en termes de traitement en temps réel, de synchronisation et d’améliorations connexes pour prendre en charge ces cas d’utilisation.

Bassam Khan: Bien que Kubernetes change le monde du réseautage, il est encore nouveau et il y a encore beaucoup de place pour le développement à l’avenir. L’un des principaux défis est la complexité de l’adaptation de ce système. Le réseau nécessite une refonte de l’infrastructure des utilisateurs précédents, ce qui nécessite de l’argent et du temps de la part du client, ce qui rend le système un peu indésirable. Avec le développement et la nouvelle prévalence croissante du système, des risques pour la sécurité sont également apparus. À l’avenir, Kubernetes devra chercher un moyen plus simple d’adapter le système et d’ajouter de meilleures mesures de sécurité.

Voir également

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.