Megosztás a következőn keresztül:

Mi az a Container Network Security?

  • Cikk

A Container Network Security speciális tárolóhálózati szolgáltatások ajánlata, amely továbbfejlesztett vezérlést biztosít a tárolók közötti hálózati forgalom felett. A Container Network Security a Cilium-alapú szabályzatokat használja, és a hagyományos IP-alapú módszerekhez képest részletesebb és felhasználóbarátabb módszert kínál a hálózati biztonság kezelésére.

A tárolóhálózat biztonságának jellemzői

Mától az első elérhető szolgáltatás a Container Network Securityben az FQDN-szűrés. Ez lehetővé teszi, hogy tartománynevek alapján határozza meg a hálózati biztonsági szabályzatokat, így részletesebb és felhasználóbarátabb módon kezelheti a hálózati forgalmat.

Az FQDN-szűrés áttekintése

A tárolóalapú környezetek egyedi biztonsági kihívásokat jelentenek. A hagyományos hálózati biztonsági módszerek, amelyek gyakran az IP-alapú szűrésre támaszkodnak, nehézkessé és kevésbé hatékonysá válhatnak, mivel az IP-címek gyakran változnak. Emellett a hálózati forgalom mintáinak megértése és a potenciális fenyegetések azonosítása összetett lehet.

Az FQDN-szűrés hatékony és felhasználóbarát megközelítést kínál a hálózati szabályzatok kezeléséhez. A szabályzatok IP-címek helyett tartománynevek alapján történő definiálásával a szervezetek jelentősen leegyszerűsíthetik a szabályzatkezelés folyamatát. Ez a megközelítés kiküszöböli az IP-címek megváltozásakor általában szükséges gyakori frissítések szükségességét, ami csökkenti az adminisztrációs terheket, és minimalizálja a konfigurációs hibák kockázatát.

A Kubernetes-fürtökben a pod IP-címei gyakran változhatnak, ami megnehezíti a podok IP-címek használatával történő biztonsági szabályzatokkal való védelmét. Az FQDN-szűrés lehetővé teszi podszintű szabályzatok létrehozását tartománynevek és nem IP-címek használatával, ami szükségtelenné teszi a szabályzatok frissítését az IP-címek változásakor.

Feljegyzés

A Ciliummal és a Kubernetes 1.29-es vagy újabb verziójával rendelkező Azure CNI szükséges az Advanced Container Network Services tárolóhálózati biztonsági funkcióinak használatához.

A teljes tartománynév szűrésének összetevői

Cilium-ügynök: A Cilium-ügynök egy kritikus fontosságú hálózati összetevő, amely DaemonSetként fut a Cilium által működtetett Azure CNI-fürtökben. Kezeli a fürt podjaihoz tartozó hálózati, terheléselosztási és hálózati házirendeket. A kényszerített FQDN-szabályzatokkal rendelkező podok esetében a Cilium-ügynök átirányítja a csomagokat az ACNS biztonsági ügynökhöz DNS-feloldás céljából, és frissíti a hálózati szabályzatot az ACNS biztonsági ügynöktől beszerzett FQDN-IP-leképezések használatával.

ACNS biztonsági ügynök: Az ACNS biztonsági ügynök DaemonSetként fut az Azure CNI-ben, ciliumfürt által üzemeltetett, speciális tárolóhálózati szolgáltatásokkal. Kezeli a podok DNS-felbontását, és sikeres DNS-feloldás esetén frissíti a Cilium-ügynököt teljes tartománynévvel az IP-leképezésekre.

Az FQDN-szűrés működése

Ha engedélyezve van az FQDN-szűrés, a rendszer először kiértékeli a DNS-kérelmeket, hogy megállapítsa, engedélyezni kell-e azokat, majd a podok csak a hálózati házirend alapján férhetnek hozzá a megadott tartománynevekhez. A Cilium-ügynök a podokból származó DNS-kéréscsomagokat jelöli, és átirányítja őket az ACNS biztonsági ügynökhöz. Ez az átirányítás csak olyan podokra vonatkozik, amelyek teljes tartománynév-házirendeket kényszerítenek ki.

Az ACNS biztonsági ügynök ezután eldönti, hogy a szabályzat feltételei alapján továbbít-e DNS-kérést a DNS-kiszolgálónak. Ha engedélyezve van, a rendszer elküldi a kérést a DNS-kiszolgálónak, és a válasz beérkezésekor az ACNS biztonsági ügynök FQDN-leképezésekkel frissíti a Cilium-ügynököt. Ez lehetővé teszi, hogy a Cilium-ügynök frissítse a hálózati házirendet a szabályzatmotoron belül. Az alábbi képen a teljes tartománynév szűrésének magas szintű folyamata látható.

Képernyőkép az ACNS biztonsági ügynök teljes tartománynév-szűrésben való működéséről.

Fő előnyök

Méretezhető biztonsági házirendek kezelése: A fürt- és biztonsági rendszergazdáknak nem kell minden alkalommal frissíteniük a biztonsági szabályzatokat, amikor egy IP-cím megváltozik, ami hatékonyabbá teszi a műveleteket.

Fokozott biztonsági megfelelőség: Az FQDN-szűrés támogatja a Teljes felügyelet biztonsági modellt. A hálózati forgalom csak megbízható tartományokra korlátozódik, és csak a jogosulatlan hozzáféréssel járó kockázatokat mérsékeli.

Rugalmas szabályzatkényszerítés: Az FQDN-szűréssel implementált ACNS biztonsági ügynök biztosítja, hogy a DNS-feloldás zökkenőmentesen folytatódjon akkor is, ha a Cilium-ügynök leáll, és a szabályzatok továbbra is érvényben maradnak. Ez a megvalósítás kritikusan biztosítja a biztonságot és a stabilitást dinamikus és elosztott környezetekben.

Szempontok:

  • A tárolóhálózat biztonsági funkcióihoz a Ciliummal és a Kubernetes 1.29-es vagy újabb verziójával rendelkező Azure CNI szükséges.

Korlátozások:

  • A helyettesítő FQDN-szabályzatok részben támogatottak. Ez azt jelenti, hogy létrehozhat olyan szabályzatokat, amelyek egy adott mintával egyeznek egy kezdő helyettesítő karakterrel (pl. .example.com), de nem használhat univerzális helyettesítő karaktert () a mező összes tartományának egyeztetéséhez spec.egress.toPorts.rules.dns.matchPattern

  • Támogatott minta:

    *.example.com – Ez lehetővé teszi a example.com alatti összes altartomány forgalmát.

    app*.example.com – Ez a szabály pontosabb, és csak azokat az altartományokat engedélyezi, amelyek a example.com

  • Nem támogatott minta

    * Ez megkísérli egyezni a tartománynévvel, amely nem támogatott.

  • Az FQDN-szűrés jelenleg nem támogatott csomópont-helyi DNS-sel.
  • A kettős verem nem támogatott.
  • A Kubernetes-szolgáltatásnevek nem támogatottak.
  • Más L7-szabályzatok nem támogatottak.
  • Az FQDN-podok teljesítménycsökkenést okozhatnak, ha másodpercenként több mint 1000 kérést kezelnek.
  • Az alpine-alapú tárolólemezképek DNS-feloldási problémákba ütközhetnek a Cilium hálózati szabályzataival való használat során. Ennek oka a Musl Libc korlátozott keresési tartomány iterációja. Ennek megkerüléséhez explicit módon definiálja a hálózati házirend DNS-szabályaiban szereplő összes keresési tartományt helyettesítő karakterek használatával, például az alábbi példában
rules:
  dns:
  - matchPattern: "*.example.com"
  - matchPattern: "*.example.com.*.*"
  - matchPattern: "*.example.com.*.*.*"
  - matchPattern: "*.example.com.*.*.*.*"
  - matchPattern: "*.example.com.*.*.*.*.*"
- toFQDNs:
  - matchPattern: "*.example.com"

Díjszabás

Fontos

A haladó konténer hálózati szolgáltatások egy fizetős ajánlat. A díjszabással kapcsolatos további információkért tekintse meg az Advanced Container Networking Services – Díjszabás című témakört.

Következő lépések

  • Megtudhatja, hogyan engedélyezheti a tárolóhálózat biztonságát az AKS-en.

  • Ismerje meg, hogyan építi ki a nyílt forráskód közösség a Cilium hálózati szabályzatait.

  • Az Azure Kubernetes Service (AKS) speciális tárolóhálózati szolgáltatásairól további információt az Azure Kubernetes Service (AKS) speciális tárolóhálózati szolgáltatásairól talál.

  • Ismerkedjen meg a tárolóhálózat megfigyelhetőségi funkcióival a speciális tárolóhálózati szolgáltatásokban a Mi az a tárolóhálózat megfigyelhetősége? című témakörben.