Qu’est-ce que la Sécurité du réseau de conteneurs ?
La Sécurité du réseau de conteneurs est une offre des services avancés de mise en réseau de conteneurs qui offre un contrôle amélioré sur le trafic réseau entre les conteneurs. La Sécurité du réseau de conteneurs tire parti des stratégies basées sur Cilium, offrant une approche plus granulaire et conviviale de la gestion de la sécurité réseau par rapport aux méthodes IP traditionnelles.
Fonctionnalités de la Sécurité du réseau de conteneurs
À compter d’aujourd’hui, la première fonctionnalité disponible dans la Sécurité du réseau de conteneurs est le filtrage de nom de domaine complet. Cela vous permet de définir des stratégies de sécurité réseau basées sur des noms de domaine, offrant une approche plus granulaire et conviviale pour gérer le trafic réseau.
Vue d’ensemble du filtrage des noms de domaine complets
Les environnements conteneurisés présentent des défis uniques en matière de sécurité. Les méthodes de sécurité réseau traditionnelles, souvent dépendantes du filtrage basé sur l’adresse IP, peuvent devenir fastidieuses et moins efficaces si les adresses IP changent fréquemment. En outre, la compréhension des modèles de trafic réseau et l’identification des menaces potentielles peuvent être complexes.
Le filtrage des noms de domaine complets offre une approche efficace et conviviale pour la gestion des stratégies réseau. En définissant ces stratégies en fonction des noms de domaine plutôt que des adresses IP, les organisations peuvent simplifier considérablement le processus de gestion des stratégies. Cette approche élimine le besoin de mises à jour fréquentes qui sont généralement requises lorsque les adresses IP changent, ce qui réduit le fardeau administratif ainsi que le risque d’erreurs de configuration.
Dans un cluster Kubernetes, les adresses IP des pods peuvent changer souvent, ce qui rend difficile la sécurisation des pods avec des stratégies de sécurité utilisant les adresses IP. Le filtrage des noms de domaine complets vous permet de créer des stratégies au niveau du pod qui utilisent des noms de domaine plutôt que des adresses IP. Cela permet d’éliminer le besoin de mettre à jour les stratégies lors du changement d’une adresse IP.
Remarque
Vous devez disposer d’Azure CNI avec Cilium et Kubernetes version 1.29 ou ultérieure pour pouvoir utiliser les fonctionnalités de la Sécurité du réseau de conteneurs des services avancés de mise en réseau de conteneurs.
Composants du filtrage des noms de domaine complets
Agent Cilium : l’agent Cilium est un composant réseau critique qui s’exécute en tant que DaemonSet dans des clusters Azure CNI à technologie Cilium. Il gère la mise en réseau, l’équilibrage de charge et les stratégies réseau pour les pods du cluster. Pour les pods avec des stratégies FQDN appliquées, l’agent Cilium redirige les paquets vers l’agent de sécurité ACNS pour la résolution DNS et met à jour la stratégie réseau à l’aide des mappages FQDN-IP obtenus à partir de l’agent de sécurité ACNS.
Agent de sécurité ACNS : l’agent de sécurité ACNS s’exécute en tant que DaemonSet dans Azure CNI optimisé par le cluster Cilium avec les services avancés de mise en réseau de conteneurs activés. Il gère la résolution DNS pour les pods et, en cas de réussite de la résolution DNS, il met à jour l’agent Cilium avec les mappages FQDN-IP.
Fonctionnement du filtrage des noms de domaine complets
Lorsque le filtrage des noms de domaine complets est activé, les requêtes DNS sont d’abord évaluées pour déterminer si elles doivent être autorisées, après quoi les pods peuvent uniquement accéder aux noms de domaine spécifiés en fonction de la stratégie réseau. L’agent Cilium marque les paquets de requête DNS provenant des pods, les redirigeant vers l’agent de sécurité ACNS. Cette redirection se produit uniquement pour les pods qui appliquent des stratégies de nom de domaine complet.
L’agent de sécurité ACNS décide ensuite de transférer une requête DNS au serveur DNS en fonction des critères de stratégie. Si elle est autorisée, la requête est envoyée au serveur DNS et, lors de la réception de la réponse, le proxy DNS met à jour l’agent Cilium avec les mappages de noms de domaine complets. Cela permet à l’agent Cilium de mettre à jour la stratégie réseau dans le moteur de stratégie. L’image suivante illustre le flux général de filtrage des noms de domaine complets.
Principaux avantages
Gestion évolutive des stratégies de sécurité : les administrateurs de cluster et de sécurité n’ont pas besoin de mettre à jour les stratégies de sécurité chaque fois qu’une adresse IP change, ce qui rend les opérations plus efficaces.
Conformité de sécurité renforcée : le filtrage des noms de domaine complets prend en charge un modèle de sécurité Confiance Zéro. Le trafic réseau est limité aux domaines approuvés, ce qui atténue les risques liés à l’accès non autorisé.
Application de stratégie résiliente : l’agent de sécurité ACNS implémenté avec le filtrage des noms de domaine complets garantit que la résolution DNS continue de manière transparente même si l’agent Cilium tombe en panne, et les stratégies continuent à être appliquées. Cette implémentation garantit que la sécurité et la stabilité sont conservées dans les environnements dynamiques et distribués.
Considérations :
- Les fonctionnalités de Sécurité du réseau de conteneurs nécessitent Azure CNI optimisé par Cilium et Kubernetes version 1.29 et ultérieures.
Limites :
- Les stratégies de nom de domaine complet générique ne sont pas prises en charge. Cela signifie que vous ne pouvez pas créer de stratégies qui autorisent ou refusent le trafic en fonction de modèles tels que
*sur le champspec.egress.toPorts.rules.dns.matchPattern - Le filtrage de nom de domaine complet n’est actuellement pas pris en charge avec le DNS local de nœud.
- La double pile n’est pas prise en charge.
- Les noms de service Kubernetes ne sont pas pris en charge.
- Les autres stratégies L7 ne sont pas prises en charge.
- Les pods FQDN peuvent présenter une dégradation des performances lors de la gestion de plus de 1 000 requêtes par seconde.
- Les images conteneur basées sur Alpine peuvent rencontrer des problèmes de résolution DNS lorsqu’elles sont utilisées avec les stratégies réseau Cilium. Cela est dû à l’itération de domaine de recherche limitée de musl libc. Pour contourner ce problème, définissez explicitement tous les domaines de recherche dans les règles DNS de la stratégie réseau à l’aide de modèles génériques, comme dans l’exemple ci-dessous
rules:
dns:
- matchPattern: "*.example.com"
- matchPattern: "*.example.com.*.*"
- matchPattern: "*.example.com.*.*.*"
- matchPattern: "*.example.com.*.*.*.*"
- matchPattern: "*.example.com.*.*.*.*.*"
- toFQDNs:
- matchPattern: "*.example.com"
Tarification
Important
Services avancés de mise en réseau de conteneurs est une offre payante. Pour plus d’informations sur la tarification, consultez Tarification des services avancés de mise en réseau de conteneurs.
Étapes suivantes
Découvrez comment activer la Sécurité du réseau de conteneurs sur AKS.
Explorez comment la communauté open source crée des stratégies réseau Cilium.
Pour plus d’informations sur les services avancés de mise en réseau de conteneurs pour Azure Kubernetes Service (AKS), consultez Que sont les services avancés de mise en réseau de conteneurs pour Azure Kubernetes Service (AKS) ?.
Explorez les fonctionnalités d’observabilité du réseau de conteneurs dans les services avancés de mise en réseau de conteneurs dans Qu’est-ce que l’observabilité du réseau de conteneurs ?
Azure Kubernetes Service