Einführung
Wenn Ihr Unternehmen auf Cloud-native Technologien und Kubernetes setzt, hat dies zur Folge, dass die Sicherung Ihrer Infrastruktur exponentiell komplexer wird. Traditionelle Lösungen für die Netzwerksicherheit können oft nur schwer mit der Dynamik containerisierter Umgebungen Schritt halten.
Die Herausforderung
- Gefahrenpotenzial in Bezug auf den East-West-Traffic: Bei einer Microservices-Architektur wird die Kommunikation der Services in Ihrem Cluster (East-West-Traffic) zu einem erheblichen Sicherheitsrisiko.
- Ständig neue Umgebungen: Kubernetes-Cluster sind äußerst dynamisch, was die Bereitstellung und Aufrechterhaltung traditioneller Sicherheitsmaßnahmen erschwert.
- Komplexe Netzwerkkonfigurationen: Das Konfigurieren von Richtlinien für Netzwerksicherheit in Kubernetes kann herausfordernd und fehleranfällig sein.
Die Lösung: cSRX und SUSE Rancher
Mit der geballten Leistung von Juniper cSRX und SUSE Rancher können Sie derartige Herausforderungen effektiv angehen und Ihre Cloud-native Infrastruktur besser schützen.
Funktionsweise
1. Mikrosegmentierung mit cSRX:
a. Granulare Kontrolle: Mit cSRX können Sie detaillierte Sicherheitsrichtlinien auf Container-Ebene erstellen, wodurch sich Workloads isolieren und laterale Netzwerkbewegungen begrenzen lassen.
b. Fortgeschrittene Sicherheitsfunktionen:Schützen Sie Ihre Anwendungen mit einer umfassenden Suite von Sicherheitsservices, die Firewall, Intrusion Prevention und Anwendungssicherheit beinhalten.
c. Dynamische Adaption:cSRX passt sich dynamisch an Änderungen in Ihrer Kubernetes-Umgebung an, was für durchgängigen Schutz sorgt.
2. Simplifizierte Verwaltung mit SUSE Rancher:
a. Zentralisierte Visibilität:Sie erhalten eine einheitliche Einsicht Ihrer gesamten Kubernetes-Infrastruktur, inklusive Sicherheitsrichtlinien und Alarmen.
b. Optimierte Bereitstellung:Die Bereitstellung und Verwaltung von cSRX erfolgt nahtlos in Ihrer Rancher-Umgebung und spart so Betriebskosten.
c. Automatisierte Umsetzung von Richtlinien: Durch die automatische Erstellung und Umsetzung von Sicherheitsrichtlinien können menschliche Fehler vermieden werden.
Wichtige Vorteile
Verbesserter Sicherheitsstatus: Schützen Sie Ihre Anwendungen mit fortgeschrittenen Sicherheitsfunktionen und granularer Kontrolle vor Bedrohungen.
- Verbesserte betriebliche Effizienz: Simplifizieren Sie die Netzwerk- und Sicherheitsverwaltung und reagieren Sie schneller auf Sicherheitsvorfälle.
- Beschleunigte Markteinführung: Schnelles Bereitstellen und Sichern neuer Anwendungen, ohne dabei die Sicherheit zu vernachlässigen.
- Reduziertes Risiko von Datenschutzverletzungen: Senken Sie das Risiko von Sicherheitsverletzungen, indem der nicht autorisierte Zugriff auf sensible Informationen verhindert wird.
Anhand der geballten Leistung von cSRX und SUSE Rancher können Sie eine zuverlässige und sichere Cloud-native Infrastruktur erstellen, mit der Ihr Unternehmen zuversichtlich Innovationen vorantreiben kann.
Umgebungsvalidierung
Dieser Blog legt dar, welche Validierungsaktivitäten mit cSRX (Junos® Versionen 21.1R3.11 und 24.2R1.17) auf SUSE Rancher (v1.30.5+rke2r1) durchgeführt werden.
Das Ziel dieser Validierung ist es, das zu erwartende Verhalten von Standard-NGFW-Funktionen zu bestätigen, die durch Juniper cSRX VNF auf SUSE Rancher RKE2 geliefert werden. Die L3/L4-Firewall-Regeln sind auf der cSRX konfiguriert. Diese fungiert als Standard-Gateway für zwei Ubuntu-Pods auf verschiedenen VNets (NetworkAttachmentDefinition war in diesem Szenario MACVLAN).
Der einzelne Knoten, den SUSE Rancher RKE2 für die Validierungsaktivitäten nutzte, ist auf Azure gehostet:
Die Details der Version von SUSE Rancher RKE2, die für die Validierungsaktivitäten genutzt wurde, finden Sie nachstehend aufgelistet:
Validierungsszenario
Das Szenario für interne Kubernetes-Netzwerke (beschrieben in der über den nachfolgenden Link verfügbaren Dokumentation) wurde für die Validierungsaktivitäten verwendet:
Diese Übersicht verdeutlicht die Validierungsarchitektur innerhalb des RKE2-Clusters mit einem Knoten:
Dasselbe Validierungsszenario wurde auf RedHat OpenShift für die cSRX-Validierung verwendet:
Juniper cSRX-Validierung auf RedHat OpenShift
Weitere Informationen zur Juniper CNFS-Validierung auf RedHat OpenShift:
https://catalog.redhat.com/search?gs&q=juniper&searchType=software
Validierungsdetails
Die für die Validierung genutzten Konfigurationsdateien sind auf folgender Seite verfügbar:
https://github.com/ludovic-juniper/csrx-rke2
Die Kubernetes-Namespace-cSRX enthält wie im obigen Diagramm ersichtlich drei Pods und zwei NetworkAttachmentDefinitions, die MACVLAN nutzen, um cSRX mit den Ubuntu-Pods zu verknüpfen:
cSRX 21.1R3.11
cSRX-Konfiguration:
cSRX-Lizenz:
cSRX 24.2R1.17
cSRX-Version:
cSRX-Konfiguration:
cSRX-Lizenz:
Validierungstests
iperf-Datenverkehr aus Zone „vertrauenswürdig“ (privat) wird nach Zone „nicht vertrauenswürdig“ (öffentlich) durchgelassen
cSRX 21.1R3.11
cSRX 24.2R1.17
TCP-iperf-Datenverkehr wird durchgelassen, aber UDP-iperf-Datenverkehr wird aufgrund von cSRX-Sicherheitsrichtlinien nicht durchgelassen:
cSRX 21.1R3.11
cSRX 24.2R1.17
ICMP-Ping-Datenverkehr wird nur aus Zone „vertrauenswürdig“ in Zone „nicht vertrauenswürdig“ durchgelassen:
Gleiche Ausgaben mit cSRX 21.1R3.11 und cSRX 24.2R1.17
Anderer Datenverkehr als iperf (TCP-Port 5001) und ICMP werden blockiert:
Gleiche Ausgaben mit cSRX 21.1R3.11 und cSRX 24.2R1.17
Juniper ist bestrebt, unsere Kunden und Partner bei der Umstellung auf die Cloud zu ermutigen und zu unterstützen. Dies schließt die Einführung von Sicherheits-VNFs sowie -CNFs auf Kubernetes-basierten Virtualisierungsplattformen wie SUSE Rancher mit ein.
Die oben beschriebene und auf suse.com verfügbare cSRX-Validierung auf SUSE Rancher sorgt für eine risikofreie Bereitstellung und sämtliche Vorteile der auf dem SUSE-Rancher-Cluster gehosteten Juniper cSRX.
Wenden Sie sich gern unter [email protected] an uns, wenn Sie Fragen oder Anliegen in Bezug auf die cSRX-Validierung auf SUSE Rancher haben.
