Co je zabezpečení služby Container Network?

Container Network Security je nabídka Advanced Container Networking Services , která poskytuje vylepšenou kontrolu nad síťovým provozem napříč kontejnery. Container Network Security využívá zásady založené na cilium, které nabízejí podrobnější a uživatelsky přívětivější přístup ke správě zabezpečení sítě v porovnání s tradičními metodami založenými na IP adresách.

Funkce zabezpečení sítě kontejnerů

Od dnešního dne je první funkcí, která je k dispozici v rámci služby Container Network Security, filtrování plně kvalifikovaných názvů domén. To vám umožní definovat zásady zabezpečení sítě na základě názvů domén, což poskytuje podrobnější a uživatelsky přívětivější přístup ke správě síťového provozu.

Přehled filtrování plně kvalifikovaného názvu domény

Kontejnerizovaná prostředí představují jedinečné výzvy zabezpečení. Tradiční metody zabezpečení sítě, často závislé na filtrování založené na IP adresách, se můžou stát těžkopádné a méně efektivní, protože se IP adresy často mění. Pochopení vzorů síťového provozu a identifikace potenciálních hrozeb může být navíc složité.

Filtrování plně kvalifikovaného názvu domény nabízí efektivní a uživatelsky přívětivý přístup pro správu zásad sítě. Definováním těchto zásad na základě názvů domén místo IP adres mohou organizace výrazně zjednodušit proces správy zásad. Tento přístup eliminuje potřebu častých aktualizací, které se obvykle vyžadují při změně IP adres, což snižuje administrativní zátěž a minimalizuje riziko chyb konfigurace.

V clusteru Kubernetes se IP adresy podů můžou často měnit, což ztěžuje zabezpečení podů pomocí zásad zabezpečení pomocí IP adres. Filtrování plně kvalifikovaného názvu domény umožňuje vytvářet zásady na úrovni podů pomocí názvů domén místo IP adres, což eliminuje nutnost aktualizovat zásady při změně IP adresy.

Poznámka:

Azure CNI s využitím Cilium a Kubernetes verze 1.29 nebo vyšší je potřeba k používání funkcí zabezpečení sítě kontejnerů pokročilých služeb Container Networking Services.

Komponenty filtrování plně kvalifikovaného názvu domény

Cilium Agent: Cilium Agent je kritická síťová komponenta, která běží jako daemonSet v clusterech Azure CNI využívajících Cilium. Zpracovává sítě, vyrovnávání zatížení a zásady sítě pro pody v clusteru. U podů s vynucenými zásadami plně kvalifikovaného názvu domény přesměruje agent Cilium pakety na agenta zabezpečení ACNS pro překlad DNS a aktualizuje zásady sítě pomocí mapování plně kvalifikovaných názvů domén získaných z agenta zabezpečení ACNS.

Agent zabezpečení ACNS: Agent zabezpečení ACNS běží jako démonSet v Azure CNI s podporou clusteru Cilium s povolenými pokročilými službami Container Networking. Zpracovává překlad DNS pro pody a při úspěšném překladu DNS aktualizuje agenta Cilium s plně kvalifikovaným názvem domény na mapování IP adres.

Jak funguje filtrování plně kvalifikovaného názvu domény

Pokud je povolené filtrování plně kvalifikovaného názvu domény, nejprve se vyhodnocují požadavky DNS, aby se zjistilo, jestli mají být povolené, po kterých podech mají přístup jenom k zadaným názvům domén na základě zásad sítě. Agent Cilium označuje pakety požadavků DNS pocházející z podů a přesměruje je na agenta zabezpečení ACNS. K tomuto přesměrování dochází pouze u podů, které vynucují zásady plně kvalifikovaného názvu domény.

Agent zabezpečení ACNS se pak rozhodne, jestli se má požadavek DNS předávat na server DNS na základě kritérií zásad. Pokud je to povoleno, požadavek se odešle na server DNS a po přijetí odpovědi agent zabezpečení ACNS aktualizuje agenta Cilium agenta s mapováním plně kvalifikovaného názvu domény. To umožňuje agentu Cilium aktualizovat zásady sítě v rámci modulu zásad. Následující obrázek znázorňuje tok filtrování plně kvalifikovaného názvu domény na vysoké úrovni.

Klíčové výhody

Škálovatelná správa zásad zabezpečení: Správci clusteru a zabezpečení nemusí aktualizovat zásady zabezpečení při každé změně IP adresy, která provádí operace efektivněji.

Vylepšené dodržování předpisů zabezpečení: Filtrování plně kvalifikovaného názvu domény podporuje model zabezpečení nulová důvěra (Zero Trust). Síťový provoz je omezený jenom na důvěryhodné domény, které snižují rizika z neoprávněného přístupu.

Odolné vynucování zásad: Agent zabezpečení ACNS implementovaný s filtrováním plně kvalifikovaného názvu domény zajišťuje, že překlad DNS bude bez problémů pokračovat i v případě, že agent Cilium přestane fungovat a zásady budou nadále vynucovány. Tato implementace kriticky zajišťuje zachování zabezpečení a stability v dynamických a distribuovaných prostředích.

Požadavky:

• Funkce container Network Security vyžadují Azure CNI využívající Cilium a Kubernetes verze 1.29 a vyšší.

Omezení:

• Zásady plně kvalifikovaného názvu domény se částečně podporují. To znamená, že můžete vytvořit zásady, které odpovídají konkrétním vzorům s úvodním zástupným znakem (např . .example.com), ale nemůžete použít univerzální zástupný znak () ke shodě všech domén v poli. spec.egress.toPorts.rules.dns.matchPattern

• Podporovaný vzor:

  *.example.com - To umožňuje provoz do všech subdomén pod example.com.

• Nepodporovaný vzor

  * Tento pokus se pokusí shodovat s libovolným názvem domény, který se nepodporuje.

• Filtrování plně kvalifikovaného názvu domény se v současné době nepodporuje u dns místního uzlu.
• Duální zásobník se nepodporuje.
• Názvy služeb Kubernetes se nepodporují.
• Jiné zásady L7 se nepodporují.
• Pody plně kvalifikovaného názvu domény můžou vykazovat snížení výkonu při zpracování více než 1 000 požadavků za sekundu.
• Při použití se zásadami sítě Cilium můžou nastat problémy s překladem DNS na image kontejnerů založené na Alpine. Důvodem je omezená iterace domény vyhledávání musl libc. Pokud chcete tento problém obejít, explicitně definujte všechny domény vyhledávání v pravidlech DNS zásad sítě pomocí vzorců se zástupnými cardy, jako je následující příklad.

rules:
  dns:
  - matchPattern: "*.example.com"
  - matchPattern: "*.example.com.*.*"
  - matchPattern: "*.example.com.*.*.*"
  - matchPattern: "*.example.com.*.*.*.*"
  - matchPattern: "*.example.com.*.*.*.*.*"
- toFQDNs:
  - matchPattern: "*.example.com"

Ceny

Důležité

Advanced Container Networking Services je placená nabídka. Další informace o cenách naleznete v tématu Advanced Container Networking Services – Ceny.

Další kroky

• Zjistěte, jak povolit zabezpečení sítě kontejneru v AKS.

• Prozkoumejte, jak opensourcová komunita vytváří zásady sítě Cilium.

• Další informace o Advanced Container Networking Services pro Azure Kubernetes Service (AKS) najdete v tématu Co je Advanced Container Networking Services pro Azure Kubernetes Service (AKS)?.

• Prozkoumejte funkce pozorovatelnosti služby Container Network v pokročilých službách Container Networking Services v části Co je pozorovatelnost sítě kontejnerů?.