امروزه سازمان های بسیاری در حال کشف این هستند که چگونه فایروالهای سری CN و Kubernetes می توانند گزینه های جذابی برای توسعه برنامه ها باشند. Kubernetes ها می توانند توسعه را ساده کنند زیرا تیم های DevOps را قادر به حرکت سریع ، استقرار نرم افزار با کارآیی و صرفه جویی در منابع محاسبه می کنند. Kubernetes با تنظیم برنامه توسعه به روشی خودکار نقشی اساسی در این محیط ها بازی می کند. اما ترافیک شبکه از طریق میزبان ها می تواند فرصت هایی را برای مهاجمان ایجاد کند. علاوه بر این Kubernetes اغلب برای اتصال به برنامه های مهم ماموریت که همیشه به امنیت جامع شبکه نیاز دارند ، نیاز دارند. نظرسنجی Cloud Native Computing Foundation (CNCF) 2019 نشان می دهد 78٪ از پاسخ دهندگان از فایروالهای سری CN و Kubernetes در تولید استفاده می کنند و امنیت همچنان یکی از نگرانیهای اصلی آنها است. تیم های DevOps ، Kubernetes را در زیرساخت هایی مستقر می کنند که تیم های امنیتی شبکه وظیفه محافظت از آنها را دارند در حالی که دید محدودی در کانتینرها دارند. Kubernetes به طور فزایندهای با انواع دیگر کار (مانند ماشینهای مجازی) مورد استفاده قرار می گیرند و برای محافظت از حجم کار خود به امنیت شبکه ثابت نیاز دارند.
امنیت شبکه در Kubernetes دارای شرایط منحصر به فردی است
اطمینان از امنیت جامع برای Kubernetes با درک نحوه کار شبکه در Kubernetes آغاز میشود. Container Network Interface (CNI) یک پروژه CNCF است که مشخصات اجازه ارتباط بین کانتینرها را تعریف می کند. Kubernetes از پلاگین های CNI برای ارتباط بین غلاف ها پشتیبانی می کند. فایروالها باید به صورت بهینه در مسیر شبکه قرار گیرند تا بتوانند ترافیک مربوطه را برای جریان های ورودی، خروجی و شرق غربی به و از غلافهای برنامه مشاهده کنند . اینجاست که فایروالهای سری CN وارد می شوند و از قابلیتهای زنجیره ای CNI استفاده میکنند. این اولین فایروال نسل بعدی Kubernetes دار صنعت است و ساخته شده است تا بتواند از برنامه های Kubernetes دار در اکثر محیط های مستقر در Kubernetes مانند AWS EKS ، Azure AKS ، Google GKE و Openshift محافظت کند. فایروال های سری CN از Kubernetes برای محافظت از ترافیک ورودی، خروجی و شرق غربی همراه با سایر اجزای محیط IT شرکت استفاده می کنند. برای همگام سازی با سرعت و چابکی DevOps ، CN-Series از ارکستراسیون بومی Kubernetes نهایت استفاده را میکند و مستقیماً در فرآیند های ادغام مداوم یا توسعه مداوم (CI / CD) قرار میگیرد.
امنیت باید از اتوماسیون امنیت بومی Kubernetes پیروی کند
یکی از مزایای اصلی آن قابلیت اتوماسیون آنهاست. از آنجا که فایروالهای سری CN خود ظرف هستند اطمینان از اینکه امنیت به کانتینرها بسیار آسان می شود و تیم های امنیتی شبکه بهتر می توانند با همتایان DevOps خود برنامه ریزی کنند تا فایروال را در محیطهای آن تهیه کنند. به عنوان مثال بیشتر متخصصان این حوزه مستقیماً از ابزار خط فرمان Kubectl استفاده میکنند. تیمهای DevOps همچنین به طور گسترده ای از مدیر بسته Helm استفاده کردهاند زیرا به آنها در تعریف ، نصب و ارتقا پیچیده Kubernetes کمک میکند.
سیاستهای امنیتی سازگار و پیشگیری از تهدید
اکثر شرکتهای بزرگ دارای برنامههایی هستند که در فاکتورهای مختلف بار کاری در شبکه اجرا میشوند و بدون توجه به نوع بار کاری میزبان، توانایی اعمال سیاستهای سازگار برای برنامه ها را دارند. مشتریان ما برای فایروالهای موجود خود سیاست های امنیتی ایجاد کردهاند و از اینکه CN-Series به آنها اجازه میدهد با استفاده از برچسب های خود، این سیاستها را برای حجم کارهای محدود شده گسترش دهند، بسیار هیجان زده هستند. سیاستها را میتوان با استفاده از برچسب هایی که در فضاهای نام ، سرویس ها ، replicasets و غلافها ضمیمه شده اند ایجاد کرد. این بدان معنی است که هنگام مقیاس گذاری برنامهها ، نیازی به به روزرسانی نیست. مهم است که درک کنیم اکثر برنامه های دارای آسیب پذیری های شناخته شده و ناشناخته ای هستند که می توانند از هر دو شبکه استفاده کنند. مجموعه غنی از توانایی های جلوگیری از تهدید در سری CN با مسدود کردن خودکار بدافزار شناخته شده، سوءاستفاده از آسیب پذیری و ترافیک C2 به کاهش منابع مورد نیاز ، پیچیدگی و تأخیر کمک میکند.
