Condividi tramite


Che cos'è la sicurezza di rete dei contenitori?

La sicurezza di rete dei contenitori è un'offerta di Advanced Container Networking Services che offre un controllo avanzato sul traffico di rete tra contenitori. La sicurezza di rete dei contenitori sfrutta i criteri basati su Cilium, offrendo un approccio più granulare e intuitivo alla gestione della sicurezza di rete rispetto ai metodi tradizionali basati su IP.

Funzionalità della sicurezza di rete dei contenitori

A partire da oggi, la prima funzionalità disponibile in Sicurezza di rete contenitori è il filtro FQDN. In questo modo è possibile definire criteri di sicurezza di rete in base ai nomi di dominio, offrendo un approccio più granulare e intuitivo per la gestione del traffico di rete.

Panoramica del filtro FQDN

Gli ambienti in contenitori presentano problemi di sicurezza univoci. I metodi di sicurezza di rete tradizionali, spesso basati sul filtro basato su IP, possono diventare complessi e meno efficaci man mano che gli indirizzi IP cambiano frequentemente. Inoltre, comprendere i modelli di traffico di rete e identificare potenziali minacce può essere complesso.

Il filtro FQDN offre un approccio efficiente e intuitivo per la gestione dei criteri di rete. Definendo questi criteri in base ai nomi di dominio anziché agli indirizzi IP, le organizzazioni possono semplificare notevolmente il processo di gestione dei criteri. Questo approccio elimina la necessità di aggiornamenti frequenti che in genere sono necessari quando gli indirizzi IP cambiano, riducendo così il carico amministrativo e riducendo al minimo il rischio di errori di configurazione.

In un cluster Kubernetes gli indirizzi IP dei pod possono cambiare spesso, cosa che rende difficile proteggere i pod con criteri di sicurezza usando indirizzi IP. Il filtro FQDN consente di creare criteri a livello di pod usando nomi di dominio anziché indirizzi IP, eliminando così la necessità di aggiornare i criteri quando un indirizzo IP cambia.

Nota

Azure CNI basato su Cilium e Kubernetes versione 1.29 o successiva è necessario per usare le funzionalità di sicurezza della rete dei contenitori di Advanced Container Networking Services.

Componenti del filtro FQDN

Agente Cilium: l'agente Cilium è un componente di rete critico che viene eseguito come DaemonSet all'interno dei cluster CNI di Azure basati su Cilium. Gestisce i criteri di rete, bilanciamento del carico e di rete per i pod nel cluster. Per i pod con criteri FQDN applicati, l'agente Cilium reindirizza i pacchetti all'agente di sicurezza ACNS per la risoluzione DNS e aggiorna i criteri di rete usando i mapping FQDN-IP ottenuti dall'agente di sicurezza ACNS.

Agente di sicurezza ACNS: l'agente di sicurezza ACNS viene eseguito come DaemonSet in Azure CNI basato sul cluster Cilium con i servizi di rete avanzata dei contenitori abilitati. Gestisce la risoluzione DNS per i pod e, in caso di risoluzione DNS corretta, aggiorna l'agente Cilium con FQDN ai mapping IP.

Funzionamento del filtro FQDN

Quando il filtro FQDN è abilitato, le richieste DNS vengono valutate per la prima volta per determinare se devono essere consentite dopo le quali i pod possono accedere solo ai nomi di dominio specificati in base ai criteri di rete. L'agente Cilium contrassegna i pacchetti di richiesta DNS provenienti dai pod, reindirizzandoli all'agente di sicurezza ACNS. Questo reindirizzamento si verifica solo per i pod che applicano i criteri FQDN.

L'agente di sicurezza ACNS decide quindi se inoltrare una richiesta DNS al server DNS in base ai criteri. Se consentito, la richiesta viene inviata al server DNS e, dopo aver ricevuto la risposta, l'agente di sicurezza ACNS aggiorna l'agente Cilium con mapping FQDN. Ciò consente all'agente Cilium di aggiornare i criteri di rete all'interno del motore dei criteri. L'immagine seguente illustra il flusso generale del filtro FQDN.

Screenshot che mostra il funzionamento dell'agente di sicurezza ACNS nel filtro FQDN.

Vantaggi chiave

Gestione dei criteri di sicurezza scalabile: gli amministratori del cluster e della sicurezza non devono aggiornare i criteri di sicurezza ogni volta che le modifiche di un indirizzo IP rendono le operazioni più efficienti.

Conformità alla sicurezza avanzata: il filtro FQDN supporta un modello di sicurezza Zero Trust. Il traffico di rete è limitato a domini attendibili, riducendo solo i rischi derivanti dall'accesso non autorizzato.

Applicazione resiliente dei criteri: l'agente di sicurezza ACNS implementato con il filtro FQDN garantisce che la risoluzione DNS continui senza problemi anche se l'agente Cilium diventa inattivo e i criteri continuano a rimanere applicati. Questa implementazione garantisce in modo critico che la sicurezza e la stabilità vengano mantenute in ambienti dinamici e distribuiti.

Considerazioni:

  • Le funzionalità di sicurezza di rete dei contenitori richiedono Azure CNI con tecnologia Cilium e Kubernetes versione 1.29 e successive.

Limitazioni:

  • I criteri FQDN con caratteri jolly non sono supportati. Ciò significa che non è possibile creare criteri che consentano o negano il traffico in base a modelli come * nel campo spec.egress.toPorts.rules.dns.matchPattern
  • Il filtro FQDN non è attualmente supportato con DNS locale del nodo.
  • Lo stack doppio non è supportato.
  • I nomi dei servizi Kubernetes non sono supportati.
  • Gli altri criteri L7 non sono supportati.
  • I pod FQDN possono presentare una riduzione delle prestazioni quando si gestiscono più di 1000 richieste al secondo.
  • Le immagini dei contenitori basate su Alpine possono riscontrare problemi di risoluzione DNS quando vengono usati con i criteri di rete Cilium. Ciò è dovuto all'iterazione limitata del dominio di ricerca di musl libc. Per risolvere questo problema, definire in modo esplicito tutti i domini di ricerca nelle regole DNS di Criteri di rete usando modelli con caratteri jolly, come nell'esempio seguente
rules:
  dns:
  - matchPattern: "*.example.com"
  - matchPattern: "*.example.com.*.*"
  - matchPattern: "*.example.com.*.*.*"
  - matchPattern: "*.example.com.*.*.*.*"
  - matchPattern: "*.example.com.*.*.*.*.*"
- toFQDNs:
  - matchPattern: "*.example.com"

Prezzi

Importante

Advanced Container Networking Services è un'offerta a pagamento. Per altre informazioni sui prezzi, vedere Servizi di rete dei contenitori avanzati - Prezzi.

Passaggi successivi