Apa itu Keamanan Jaringan Kontainer?
Container Network Security adalah penawaran Advanced Container Networking Services yang memberikan kontrol yang ditingkatkan atas lalu lintas jaringan di seluruh kontainer. Keamanan Jaringan Kontainer memanfaatkan kebijakan berbasis Cilium, menawarkan pendekatan yang lebih terperinci dan mudah digunakan untuk mengelola keamanan jaringan dibandingkan dengan metode berbasis IP tradisional.
Fitur Keamanan Jaringan Kontainer
Mulai hari ini, fitur pertama yang tersedia dalam Container Network Security adalah pemfilteran FQDN. Ini memungkinkan Anda menentukan kebijakan keamanan jaringan berdasarkan nama domain, memberikan pendekatan yang lebih terperinci dan mudah digunakan untuk mengelola lalu lintas jaringan.
Gambaran umum pemfilteran FQDN
Lingkungan kontainer menghadirkan tantangan keamanan yang unik. Metode keamanan jaringan tradisional, sering bergantung pada pemfilteran berbasis IP, dapat menjadi rumit dan kurang efektif karena alamat IP sering berubah. Selain itu, memahami pola lalu lintas jaringan dan mengidentifikasi potensi ancaman dapat menjadi kompleks.
Pemfilteran FQDN menawarkan pendekatan yang efisien dan mudah digunakan untuk mengelola kebijakan jaringan. Dengan menentukan kebijakan ini berdasarkan nama domain daripada alamat IP, organisasi dapat secara signifikan menyederhanakan proses manajemen kebijakan. Pendekatan ini menghilangkan kebutuhan akan pembaruan sering yang biasanya diperlukan ketika alamat IP berubah, akibatnya mengurangi beban administratif dan meminimalkan risiko kesalahan konfigurasi.
Dalam kluster Kubernetes, alamat IP pod dapat sering berubah, yang membuatnya menantang untuk mengamankan pod dengan kebijakan keamanan menggunakan alamat IP. Pemfilteran FQDN memungkinkan Anda membuat kebijakan tingkat pod menggunakan nama domain daripada alamat IP, yang menghilangkan kebutuhan untuk memperbarui kebijakan saat alamat IP berubah.
Catatan
Azure CNI Powered by Cilium dan Kubernetes versi 1.29 atau lebih tinggi diperlukan untuk menggunakan fitur keamanan Container Network dari Advanced Container Networking Services.
Komponen pemfilteran FQDN
Agen Cilium: Agen Cilium adalah komponen jaringan penting yang berjalan sebagai DaemonSet dalam kluster Azure CNI yang didukung oleh Cilium. Ini menangani jaringan, penyeimbangan beban, dan kebijakan jaringan untuk pod dalam kluster. Untuk pod dengan kebijakan FQDN yang diberlakukan, Agen Cilium mengalihkan paket ke Agen Keamanan ACNS untuk resolusi DNS dan memperbarui kebijakan jaringan menggunakan pemetaan FQDN-IP yang diperoleh dari Agen Keamanan ACNS.
Agen Keamanan ACNS: Agen Keamanan ACNS berjalan sebagai DaemonSet di Azure CNI yang didukung oleh kluster Cilium dengan layanan Jaringan Kontainer Tingkat Lanjut diaktifkan. Ini menangani resolusi DNS untuk pod dan pada resolusi DNS yang berhasil, ia memperbarui Agen Cilium dengan FQDN ke pemetaan IP.
Cara kerja pemfilteran FQDN
Ketika Pemfilteran FQDN diaktifkan, permintaan DNS pertama kali dievaluasi untuk menentukan apakah mereka harus diizinkan setelah pod hanya dapat mengakses nama domain yang ditentukan berdasarkan kebijakan jaringan. Agen Cilium menandai paket permintaan DNS yang berasal dari pod, mengalihkannya ke Agen Keamanan ACNS. Pengalihan ini hanya terjadi untuk pod yang memberlakukan kebijakan FQDN.
Agen Keamanan ACNS kemudian memutuskan apakah akan meneruskan permintaan DNS ke server DNS berdasarkan kriteria kebijakan. Jika diizinkan, permintaan dikirim ke server DNS, dan setelah menerima respons, Agen Keamanan ACNS memperbarui Agen Cilium dengan pemetaan FQDN. Ini memungkinkan Agen Cilium memperbarui kebijakan jaringan dalam mesin kebijakan. Gambar berikut mengilustrasikan aliran pemfilteran FQDN tingkat tinggi.
Manfaat utama
Manajemen kebijakan keamanan yang dapat diskalakan: Admin kluster dan keamanan tidak perlu memperbarui kebijakan keamanan setiap kali alamat IP berubah membuat operasi lebih efisien.
Kepatuhan keamanan yang ditingkatkan: Pemfilteran FQDN mendukung model keamanan Zero Trust. Lalu lintas jaringan dibatasi untuk domain tepercaya hanya mengurangi risiko dari akses yang tidak sah.
Penegakan Kebijakan Tangguh: Agen Keamanan ACNS yang diterapkan dengan pemfilteran FQDN memastikan bahwa resolusi DNS terus berlanjut dengan lancar meskipun agen Cilium tidak berfungsi dan kebijakan terus diberlakukan. Implementasi ini secara kritis memastikan bahwa keamanan dan stabilitas dipertahankan di lingkungan dinamis dan terdistribusi.
Pertimbangan:
- Fitur Container Network Security memerlukan Azure CNI Powered by Cilium dan Kubernetes versi 1.29 ke atas.
Batasan:
- Kebijakan FQDN kartubebas didukung sebagian. Ini berarti Anda dapat membuat kebijakan yang cocok dengan pola tertentu dengan wildcard terkemuka (misalnya, .example.com), tetapi Anda tidak dapat menggunakan wildcard universal () untuk mencocokkan semua domain di bidang
spec.egress.toPorts.rules.dns.matchPattern
Pola yang Didukung:
*.example.com- Ini memungkinkan lalu lintas ke semua subdomain di bawah example.com.app*.example.com- Aturan ini lebih spesifik dan hanya memungkinkan lalu lintas ke subdomain yang dimulai dengan "aplikasi" di bawah example.comPola tidak didukung
*Upaya ini untuk mencocokkan nama domain apa pun, yang tidak didukung.
- Pemfilteran FQDN saat ini tidak didukung dengan DNS node-local.
- Tumpukan ganda tidak didukung.
- Nama layanan Kubernetes tidak didukung.
- Kebijakan L7 lainnya tidak didukung.
- Pod FQDN dapat menunjukkan penurunan performa saat menangani lebih dari 1000 permintaan per detik.
- Gambar kontainer berbasis Alpine mungkin mengalami masalah resolusi DNS saat digunakan dengan Kebijakan Jaringan Cilium. Hal ini disebabkan oleh iterasi domain pencarian terbatas musl libc. Untuk mengatasi hal ini, tentukan semua domain pencarian secara eksplisit dalam aturan DNS Kebijakan Jaringan menggunakan pola kartubebas, seperti contoh di bawah ini
rules:
dns:
- matchPattern: "*.example.com"
- matchPattern: "*.example.com.*.*"
- matchPattern: "*.example.com.*.*.*"
- matchPattern: "*.example.com.*.*.*.*"
- matchPattern: "*.example.com.*.*.*.*.*"
- toFQDNs:
- matchPattern: "*.example.com"
Harga
Penting
Layanan Jaringan Kontainer Tingkat Lanjut adalah penawaran berbayar. Untuk informasi selengkapnya tentang harga, lihat Layanan Jaringan Kontainer Tingkat Lanjut - Harga.
Langkah berikutnya
Pelajari cara mengaktifkan Keamanan Jaringan Kontainer di AKS.
Jelajahi bagaimana komunitas sumber terbuka membangun Kebijakan Jaringan Cilium.
Untuk informasi selengkapnya tentang Layanan Jaringan Kontainer Tingkat Lanjut untuk Azure Kubernetes Service (AKS), lihat Apa itu Layanan Jaringan Kontainer Tingkat Lanjut untuk Azure Kubernetes Service (AKS)?.
Jelajahi fitur Observabilitas Jaringan Kontainer di Layanan Jaringan Kontainer Tingkat Lanjut di Apa itu Container Network Observability?.
Azure Kubernetes Service