Kapsayıcı Ağ Güvenliği nedir?

Makale
12/21/2024

Kapsayıcı Ağ Güvenliği, kapsayıcılar arasında ağ trafiği üzerinde gelişmiş denetim sağlayan Gelişmiş Kapsayıcı Ağ Hizmetleri teklifidir. Container Network Security, Geleneksel IP tabanlı yöntemlere kıyasla ağ güvenliğini yönetmek için daha ayrıntılı ve kullanıcı dostu bir yaklaşım sunan Cilium tabanlı ilkelerden yararlanır.

Kapsayıcı Ağ Güvenliğinin Özellikleri

Bugün itibarıyla, Kapsayıcı Ağ Güvenliği'nin içindeki ilk özellik FQDN filtrelemesidir. Bu, ağ trafiğini yönetmek için daha ayrıntılı ve kullanıcı dostu bir yaklaşım sağlayarak etki alanı adlarına göre ağ güvenlik ilkeleri tanımlamanızı sağlar.

FQDN filtrelemesine genel bakış

Kapsayıcılı ortamlar benzersiz güvenlik zorlukları sunar. Genellikle IP tabanlı filtrelemeye dayanan geleneksel ağ güvenlik yöntemleri, IP adresleri sıklıkla değiştikçe hantal ve daha az etkili hale gelebilir. Ayrıca, ağ trafiği desenlerini anlamak ve olası tehditleri tanımlamak karmaşık olabilir.

FQDN filtreleme, ağ ilkelerini yönetmek için verimli ve kullanıcı dostu bir yaklaşım sunar. Kuruluşlar, bu ilkeleri IP adresleri yerine etki alanı adlarına göre tanımlayarak ilke yönetimi sürecini önemli ölçüde basitleştirebilir. Bu yaklaşım, ip adresleri değiştiğinde genellikle gerekli olan sık güncelleştirmelere olan ihtiyacı ortadan kaldırır, bunun sonucunda yönetim yükünü azaltır ve yapılandırma hatası riskini en aza indirir.

Kubernetes kümesinde pod IP adresleri sık sık değişebilir ve bu da IP adreslerini kullanarak podların güvenlik ilkeleriyle güvenliğini sağlamayı zorlaştırır. FQDN filtreleme, IP adresleri yerine etki alanı adlarını kullanarak pod düzeyinde ilkeler oluşturmanıza olanak tanır ve bu da IP adresi değiştiğinde ilkeleri güncelleştirme gereksinimini ortadan kaldırır.

Not

Azure CNI Cilium ve Kubernetes sürüm 1.29 veya üzeri tarafından desteklenen Azure CNI, Gelişmiş Kapsayıcı Ağ Hizmetleri'nin Kapsayıcı Ağı güvenlik özelliklerini kullanmak için gereklidir.

FQDN filtreleme bileşenleri

Cilium Aracısı: Cilium Aracısı, Cilium tarafından desteklenen Azure CNI kümelerinde DaemonSet olarak çalışan kritik bir ağ bileşenidir. Kümedeki podlar için ağ, yük dengeleme ve ağ ilkelerini işler. Zorlamalı FQDN ilkelerine sahip podlar için Cilium Aracısı paketleri DNS çözümlemesi için ACNS Güvenlik Aracısı'na yeniden yönlendirir ve ACNS Güvenlik Aracısı'ndan alınan FQDN-IP eşlemelerini kullanarak ağ ilkesini güncelleştirir.

ACNS Güvenlik Aracısı: ACNS Güvenlik Aracısı, Gelişmiş Kapsayıcı Ağı hizmetlerinin etkinleştirildiği Cilium kümesi tarafından desteklenen Azure CNI'de DaemonSet olarak çalışır. Podlar için DNS çözümlemesini işler ve başarılı DNS çözümlemesinde Cilium Agent'ı FQDN ile IP eşlemelerine güncelleştirir.

FQDN filtreleme nasıl çalışır?

FQDN Filtreleme etkinleştirildiğinde, DNS istekleri önce hangi podların yalnızca ağ ilkesine göre belirtilen etki alanı adlarına erişmesine izin verilmesi gerektiğini belirlemek için değerlendirilir. Cilium Aracısı, podlardan kaynaklanan DNS istek paketlerini işaretler ve bunları ACNS Güvenlik Aracısı'na yönlendirir. Bu yeniden yönlendirme yalnızca FQDN ilkelerini zorunlu kılan podlar için gerçekleşir.

Ardından ACNS Güvenlik Aracısı, bir DNS isteğinin ilke ölçütlerine göre DNS sunucusuna iletilip iletilmeyeceğine karar verir. İzin verilirse istek DNS sunucusuna gönderilir ve yanıtı aldıktan sonra ACNS Güvenlik Aracısı, Cilium Aracısını FQDN eşlemeleriyle güncelleştirir. Bu, Cilium Aracısı'nın ilke altyapısı içindeki ağ ilkesini güncelleştirmesine olanak tanır. Aşağıdaki görüntüde FQDN Filtrelemenin üst düzey akışı gösterilmektedir.

Temel avantajlar

Ölçeklenebilir güvenlik ilkesi yönetimi: Bir IP adresi değiştiğinde küme ve güvenlik yöneticilerinin güvenlik ilkelerini güncelleştirmeleri gerekmez ve bu da işlemleri daha verimli hale getirir.

Gelişmiş güvenlik uyumluluğu: FQDN filtrelemesi Sıfır Güven bir güvenlik modelini destekler. Ağ trafiği yalnızca yetkisiz erişim risklerini azaltan güvenilen etki alanlarıyla sınırlıdır.

Dayanıklı İlke zorlaması: FQDN filtrelemesi ile uygulanan ACNS Güvenlik Aracısı, Cilium aracısı kapansa ve ilkeler uygulanmaya devam etse bile DNS çözümlemesinin sorunsuz bir şekilde devam etmesini sağlar. Bu uygulama, dinamik ve dağıtılmış ortamlarda güvenlik ve kararlılığı korumayı kritik ölçüde sağlar.

Dikkat edilmesi gerekenler:

Kapsayıcı Ağ Güvenliği özellikleri, Cilium ve Kubernetes sürüm 1.29 ve üzeri tarafından desteklenen Azure CNI gerektirir.

Sınırlamalar:

Joker karakter FQDN ilkeleri kısmen desteklenir. Bu, belirli desenleri öndeki joker karakterle (örn. .example.com) eşleştiren ilkeler oluşturabileceğiniz ancak alandaki tüm etki alanlarıyla eşleştirmek için evrensel joker karakter () kullanamayacağınız anlamına gelir spec.egress.toPorts.rules.dns.matchPattern

Desteklenen Desen:

*.example.com - Bu, example.com altındaki tüm alt etki alanları için trafiğe izin verir.

app*.example.com - Bu kural daha belirgindir ve yalnızca example.com altında "uygulama" ile başlayan alt etki alanları trafiğine izin verir
Desteklenmeyen Desen

* Bu, desteklenmeyen herhangi bir etki alanı adıyla eşleşmeye çalışır.

FQDN filtrelemesi şu anda düğüm yerel DNS ile desteklenmiyor.
İkili yığın desteklenmez.
Kubernetes hizmet adları desteklenmez.
Diğer L7 ilkeleri desteklenmez.
FQDN podları saniyede 1000'den fazla isteği işlerken performans düşüşü gösterebilir.
Alpine tabanlı kapsayıcı görüntüleri, Cilium Ağ İlkeleri ile kullanıldığında DNS çözümleme sorunlarıyla karşılaşabilir. Bunun nedeni musl libc'nin sınırlı arama etki alanı yinelemesidir. Bu sorunu geçici olarak çözmek için, aşağıdaki örnekte olduğu gibi joker karakter desenlerini kullanarak Ağ İlkesi'nin DNS kurallarındaki tüm arama etki alanlarını açıkça tanımlayın

rules:
  dns:
  - matchPattern: "*.example.com"
  - matchPattern: "*.example.com.*.*"
  - matchPattern: "*.example.com.*.*.*"
  - matchPattern: "*.example.com.*.*.*.*"
  - matchPattern: "*.example.com.*.*.*.*.*"
- toFQDNs:
  - matchPattern: "*.example.com"

Fiyatlandırma

Önemli

Gelişmiş Konteyner Ağ Mimarisi Hizmetleri ücretli bir tekliftir. Fiyatlandırma hakkında daha fazla bilgi için bkz . Gelişmiş Kapsayıcı Ağ Hizmetleri - Fiyatlandırma.

Sonraki adımlar

AKS'de Kapsayıcı Ağ Güvenliğini etkinleştirmeyi öğrenin.
açık kaynak topluluğunun Cilium Ağ İlkelerini nasıl oluşturmuş olduğunu keşfedin.
Azure Kubernetes Service (AKS) için Gelişmiş Kapsayıcı Ağ Hizmetleri hakkında daha fazla bilgi için bkz . Azure Kubernetes Service (AKS) için Gelişmiş Kapsayıcı Ağ Hizmetleri nedir?.
Kapsayıcı Ağı Gözlemlenebilirliği nedir? başlığı altında Gelişmiş Kapsayıcı Ağ Hizmetleri'ndeki Kapsayıcı Ağı Gözlemlenebilirliği özelliklerini keşfedin.

Aracılığıyla paylaş