Introduction
À mesure que votre organisation adopte des technologies cloud natives et Kubernetes, sécuriser votre infrastructure devient de plus en plus complexe. Les solutions de sécurité réseau traditionnelles ont souvent du mal à s’adapter à la nature dynamique de l’environnement des conteneurs.
La problématique
- Exposition du trafic est-ouest : avec une architecture basée sur des microservices, la communication entre les services au sein de votre cluster (trafic est-ouest) pose des risques considérables en matière de sécurité.
- Environnements en évolution rapide : les clusters Kubernetes sont très dynamiques, ce qui complexifie la mise en œuvre et le maintien des mesures de sécurité traditionnelles.
- Configurations réseau complexes : appliquer les politiques de sécurité réseau dans Kubernetes peut être difficile et provoquer des erreurs.
La solution : cSRX et SUSE Rancher
En combinant la puissance de Juniper cSRX de SUSE Rancher, vous pouvez relever ces défis et mieux protéger votre infrastructure cloud native.
Fonctionnement
1. Microsegmentation avec cSRX :
a. Contrôle précis : cSRX permet de définir des politiques de sécurité fines au niveau des conteneurs, isolant les charges de travail et limitant les mouvements latéraux.
b. Fonctionnalités de sécurité avancées : protégez votre environnement avec une suite complète de services, y compris pare-feu, prévention des intrusions et sécurité des applications.
c. Adaptation dynamique : cSRX s’adapte automatiquement aux changements apportés à votre environnement Kubernetes, assurant une protection continue.
2. Gestion simplifiée avec SUSE Rancher :
a. Visibilité centralisée : bénéficiez d’une vue unifiée de l’ensemble de votre infrastructure Kubernetes, y compris les politiques de sécurité et les alertes.
b. Déploiement simplifié: déployez et gérez cSRX directement dans votre environnement Rancher et gagnez ainsi en efficacité opérationnelle.
c. Application automatisée des politiques : automatisez la création et l’application des politiques de sécurité, minimisant ainsi les erreurs humaines.
Principaux avantages
Posture de sécurité améliorée : protégez vos applications contre les menaces avec des fonctionnalités de sécurité avancées et un contrôle précis.
- Efficacité opérationnelle accrue : simplifiez la gestion de la sécurité du réseau et accélérez la réponse aux incidents de sécurité.
- Time to Market accéléré : déployez et sécurisez rapidement de nouvelles applications sans compromettre la sécurité.
- Réduction des violations de données : atténuez ce risque en empêchant l’accès non autorisé aux informations sensibles.
En tirant parti de la puissance combinée de cSRX et SUSE Rancher, vous créez une infrastructure cloud native robuste et sécurisée qui permet à votre entreprise d’innover en toute confiance.
Environnement de validation
Cet article de blog décrit les activités de validation réalisées avec cSRX (versions Junos® 21.1R3.11 et 24.2R1.17) sur SUSE Rancher RKE2 (v1.30.5+rke2r1).
L’objectif de cette validation est de confirmer le comportement attendu des fonctionnalités de base du NGFW fournies par le VNF cSRX de Juniper sur SUSE Rancher RKE2. Les règles de pare-feu L3/L4 sont configurées sur le cSRX, qui sert de passerelle par défaut pour deux pods Ubuntu situés sur différents VNets (avec un network-attachment-definition de type MACVLAN dans ce scénario).
Le nœud unique SUSE Rancher RKE2 utilisé lors des activités de validation est hébergé sur Azure :
Les détails de la version SUSE Rancher RKE2 utilisée pour les activités de validation sont listés ci-dessous :
Scénario de validation
Le scénario « réseaux internes k8s » (décrit dans la documentation disponible via le lien ci-dessous) a été utilisé pour les activités de validation :
Ce diagramme illustre l’architecture de validation à l’intérieur du cluster à nœud unique RKE2 :
Le même scénario a été utilisé pour la validation de cSRX sur RedHat OpenShift :
Validation de Juniper cSRX sur RedHat OpenShift
Pour en savoir plus sur la validation des CNF Juniper sur RedHat OpenShift :
https://catalog.redhat.com/search?gs&q=juniper&searchType=software
Détails de la validation
Les fichiers de configuration utilisés pour la validation sont disponibles ici :
https://github.com/ludovic-juniper/csrx-rke2
Le namespace k8s cSRX contient trois pods et deux network-attachment-definitions de type MACVLAN pour connecter cSRX avec les pods Ubuntu, comme l’illustre le diagramme ci-dessus :
cSRX 21.1R3.11
Configuration cSRX :
Licence cSRX :
cSRX 24.2R1.17
Version cSRX :
Configuration cSRX :
Licence cSRX :
Tests de validation
Le trafic iperf est autorisé de la zone approuvée (privée) à la zone non approuvée (publique)
cSRX 21.1R3.11
cSRX 24.2R1.17
Le trafic TCP iperf est autorisé, mais le trafic UDP iperf est refusé par les politiques de sécurité cSRX :
cSRX 21.1R3.11
cSRX 24.2R1.17
Le trafic ping ICMP est autorisé uniquement de la zone approuvée à la zone non approuvée :
Mêmes résultats avec cSRX 21.1R3.11 et cSRX 24.2R1.17
Tout trafic non-iperf (port TCP 5001) ou non-ping ICMP est rejeté :
Mêmes résultats avec cSRX 21.1R3.11 et cSRX 24.2R1.17
Juniper encourage et accompagne pleinement ses clients et partenaires dans leur parcours de cloudification, y compris lorsqu’ils sont amenés à adopter des VNF et CNF de sécurité sur des plateformes de virtualisation Kubernetes comme SUSE Rancher.
La validation de cSRX sur SUSE Rancher décrite ci-dessus et disponible sur suse.com garantit un déploiement sans risque et tous les avantages de Juniper cSRX hébergé sur un cluster SUSE Rancher.
Contactez-nous à l’adresse [email protected] pour toute demande d’assistance liée à la validation de cSRX sur SUSE Rancher.
