CÔNG TY CỔ PHẦN CÔNG NGHỆ BẰNG HỮU


Tin tức

Giới thiệu giải pháp Palo Alto CN-Series Container Firewall

  1. Tường lửa Palo Alto CN-Series Container Firewall là gì?

Các giải pháp bảo mật mạng truyền thống không được thiết kế để cung cấp khả năng bảo vệ đầy đủ cho các ứng dụng dựa trên microservices. Khi các doanh nghiệp tiếp tục phát triển nhanh hơn, nhóm an ninh mạng cần theo kịp quá trình triển khai ứng dụng hiện đại, linh hoạt để bảo vệ khỏi các tác nhân độc hại.

Tường lửa container Palo Alto Networks CN-Series là tường lửa thế hệ tiếp theo tốt nhất được xây dựng nhằm mục đích bảo vệ môi trường Kubernetes khỏi các cuộc tấn công dựa trên mạng. Tường lửa CN-Series cho phép các nhóm bảo mật mạng có được khả năng hiển thị ứng dụng trong môi trường Kubernetes, mở rộng bảo mật mạng một cách linh hoạt mà không ảnh hưởng đến tốc độ và tính linh hoạt của DevOps, đồng thời phù hợp với nhu cầu của các nhóm DevOps hiện đại để dễ dàng quản lý CN-Series.

NGFW CN-Series sử dụng công nghệ App-ID đã được cấp bằng sáng chế của Palo Alto Networks để xác định cả ứng dụng và nội dung trong kết nối, cung cấp khả năng kiểm tra nội dung đầy đủ thay vì kiểm soát truy cập Lớp 3/Lớp 4 của tường lửa truyền thống. Các biện pháp kiểm soát và phân tích sâu hơn được cung cấp thông qua các dịch vụ bảo mật dựa trên đám mây nâng cao, chẳng hạn như URL Filtering, Threat Prevent, WildFire, và DNS Security.

NGFW thông thường chỉ có thể được triển khai ở biên của môi trường Kubernetes và do đó không thể xác định ứng dụng cụ thể nơi lưu lượng truy cập bắt nguồn. Để vượt qua thách thức này, CN-series container firewalls chuyển bảo mật vào môi trường Kubernetes, mang lại cho chúng khả năng hiển thị và kiểm soát chính xác lưu lượng vùng chứa.

2. Tường lửa CN-Series hoạt động như thế nào?

Tường lửa CN-Series triển khai dưới dạng hai nhóm pod: một cho mặt phẳng quản lý (CN-MGMT) và một cho mặt phẳng dữ liệu tường lửa (CN-NGFW). Nhóm quản lý luôn chạy như một dịch vụ Kubernetes. Các nhóm mặt phẳng dữ liệu có thể được triển khai ở hai chế độ: Dịch vụ Daemonset hoặc Kubernetes.

Trong chế độ triển khai Dịch vụ Kubernetes, mặt phẳng dữ liệu tường lửa chạy như một dịch vụ Kubernetes trong một node bảo mật chuyên dụng. Khi được triển khai ở chế độ Dịch vụ Kubernetes, CNSeries tận dụng khả năng tự động mở rộng vốn có của Kubernetes để đảm bảo bảo vệ khỏi mối đe dọa ngay cả trong những môi trường năng động nhất. Việc triển khai dịch vụ Kubernetes phù hợp nhất với môi trường Kubernetes lớn, nơi việc triển khai phân tán sẽ tốn nhiều tài nguyên và tốn kém chi phí.

Hình 1: Chế độ triển khai phân tán. Mặt phảng dữ liệu tường lửa chạy như một daemon set trên mỗi node.

Hình 2: Chế độ triển khai cụm Cluster. Mặt phảng dữ liệu tường lửa chạy như một dịch vụ Kubernetes trong một node bảo mật chuyên dụng.

Thông qua bảng điều khiển Panorama, quản trị viên bảo mật mạng có thể sử dụng nhãn Kubernetes trong cụm, chẳng hạn như namespaces, để tạo chính sách bảo mật chi tiết nhằm xác định khối lượng công việc.

Khách hàng có thể triển khai tường lửa CN-Series trong môi trường Kubernetes hosted on-premises hoặc trên đám mây công cộng. Tường lửa CN-Series cũng có thể được triển khai vào các dịch vụ Kubernetes được quản lý trên nền tảng đám mây, bao gồm Google Kubernetes Engine (GKE®), Azure Kubernetes Service (AKS) và Amazon Elastic Kubernetes Service (EKS) cũng như các môi trường on-premises bao gồm RedHat OpenShift. Triển khai đơn giản bằng một cú nhấp chuột thông qua trình quản lý gói Kubernetes, chẳng hạn như Helm, cũng có sẵn và được cộng đồng hỗ trợ.

CN-Series được triển khai ở chế độ CNF

Dành cho các tổ chức không chỉ hiện đại hóa ứng dụng mà còn hiện đại hóa cơ sở hạ tầng của họ. Bản phát hành PAN-OS 10.2 đã giới thiệu chế độ triển khai thứ ba được gọi là chế độ CNF. Với chế độ triển khai CNF, CN-Series có thể bảo vệ cả khối lượng công việc nằm trong môi trường container và không nằm trong môi trường container. Chế độ triển khai này làm cho CN-Series trở thành tường lửa 5G được đóng gói duy nhất có thể mở rộng tới 47 vCPU và có thể bảo mật lưu lượng truy cập hiệu quả hơn với hiệu suất tăng gấp 5 lần.

Hình 3: Chế độ triển khai CNF.

3. Các trường hợp sử dụng của tường lửa CN-Series

3.1. Ngăn chặn việc rò rỉ dữ liệu từ môi trường Kubernetes

Tường lửa CN-Series cung cấp nhiều khả năng bảo mật để ngăn chặn việc rò rỉ dữ liệu nhạy cảm khỏi môi trường Kubernetes. Dịch vụ lọc URL nâng cao cung cấp các biện pháp bảo vệ cho nhà phát triển và những người dùng khác để đảm bảo rằng họ không kết nối với các trang web độc hại tiềm ẩn. Khả năng kiểm tra nội dung lưu lượng truy cập của tường lửa, cùng với dịch vụ Bảo mật DNS của Palo Alto bảo vệ chống lại việc đánh cắp dữ liệu để đảm bảo thông tin quan trọng vẫn ở trong môi trường nơi nó thuộc về.

3.2. Ngăn chặn sự lây lan của các mối đe dọa trên ranh giới Kubernetes Namespace

Trong nhiều môi trường Kubernetes, namespace Kubernetes là ranh giới tin cậy. Tường lửa CN-Series có thể được chèn để cung cấp khả năng bảo vệ lưu lượng ứng dụng và bảo vệ mối đe dọa nâng cao vào môi trường Kubernetes nhằm đảm bảo các kết nối được phép giữa hai ứng dụng được đóng gói trong vùng chứa có mức độ tin cậy khác nhau. CN-Series cũng có thể bảo mật các kết nối được phép giữa các container và các loại khối lượng công việc khác.

3.3. Ngăn chặn các mối đe dọa Inbound đã biết và chưa biết

Giống như nhiều ứng dụng, các cuộc tấn công có thể sử dụng bất kỳ cổng nào, điều này làm hạn chế tính hiệu quả của các biện pháp kiểm soát bảo mật mạng dựa trên cổng. Với các chính sách bảo mật tập trung vào ứng dụng, tường lửa CN-Series tăng cường các biện pháp kiểm soát truy cập dựa trên cổng cơ bản và kiểm tra lưu lượng mạng để đảm bảo chỉ những ứng dụng được phép mới được phép trên các cổng mở.

Các nhóm bảo mật mạng có thể ngăn chặn các mối đe dọa trên lưu lượng truy cập vào môi trường vùng chứa bằng các dịch vụ phân tích phần mềm độc hại Threat Prevention và Wildfire của Palo Alto. Việc bật các dịch vụ Threat Prevention và Wildfire trên tường lửa CN-Series sẽ bảo vệ môi trường Kubernetes của bạn trước mọi mối đe dọa dựa trên tệp, bao gồm hoạt động khai thác, phần mềm độc hại, phần mềm gián điệp và các mối đe dọa chưa biết trước đó, cố gắng lẻn qua các cổng mở.

4. Các ích lợi chính của tường lửa CN-Series

4.1. Khả năng hiển thị ứng dụng và Inline Threat Prevention

  • Khả năng hiển thị và kiểm soát ứng dụng: Có được khả năng hiển thị ngay lập tức về lưu lượng ứng dụng trong môi trường Kubernetes của bạn. Xác định các chính sách dựa trên ứng dụng để kiểm soát lưu lượng ứng dụng và thực thi các phương pháp hay nhất về Zero Trust.
  • Threat prevention và sandboxing: Các dịch vụ Threat prevention và WildFire có thể được kích hoạt trên tường lửa CN-Series để chặn các hoạt động khai thác, ngăn chặn phần mềm độc hại và ngăn chặn cả các mối đe dọa nâng cao đã biết và chưa biết.
  • Ngăn chặn việc đánh cắp dữ liệu và URL filtering: CN-Series cho phép kiểm tra nội dung và Giải mã SSL, ngăn chặn thông tin nhạy cảm rời khỏi mạng của bạn. URL filtering nâng cao sử dụng công nghệ máy học để phân loại URL và chặn quyền truy cập vào các trang web độc hại phát tán phần mềm độc hại hoặc đánh cắp thông tin xác thực. Tự động hóa đảm bảo các biện pháp bảo vệ luôn được cập nhật.

4.2. Khả năng mở rộng và cấu hình tự động

  • Tự động điều chỉnh quy mô với Kubernetes: Tường lửa CN-Series có thể tận dụng khả năng tự động điều chỉnh quy mô của Kubernetes để đảm bảo khả năng bảo vệ ngay cả trong những môi trường năng động nhất.
  • Mô hình chính sách dựa trên thẻ linh hoạt: Chính sách tường lửa CN-Series có thể được xác định theo ứng dụng, người dùng, nội dung, nhãn Kubernetes gốc và siêu dữ liệu khác để cung cấp các chính sách bảo mật linh hoạt phù hợp với nhu cầu kinh doanh.
  • Cấu hình thân thiện với DevOps: Tường lửa CN-Series có thể được chỉ định trong tệp YAML và có thể dễ dàng tích hợp vào các tệp triển khai cơ sở hạ tầng để triển khai nhanh chóng, có thể sử dụng lại. Các mẫu cấu hình có thể được tìm thấy trong kho GitHub CN-Series chính thức của Palo Alto.
  • Biểu đồ Helm Kubernetes được cộng đồng hỗ trợ: Đối với các nhóm phát triển sử dụng Helm để quản lý các ứng dụng Kubernetes của họ, Biểu đồ Helm CN-Series đã được tạo để đơn giản hóa việc triển khai và quản lý tường lửa.

4.3. Triển khai linh hoạt và tích hợp CNI nhất quán

  • Tùy chọn triển khai linh hoạt: Khách hàng có thể chọn triển khai tường lửa CN-Series ở chế độ phân tán hoặc cụm, tùy thuộc vào trường hợp sử dụng, ngân sách và cấu hình môi trường.
  • Tích hợp đơn giản: CN-Series hỗ trợ nhiều plugin giao diện mạng container (CNI) để sử dụng trong các loại triển khai Kubernetes khác nhau.

4.4. Hỗ trợ On-Premises và đám mây cho Kubernetes

  • Đám mây công cộng: Tường lửa CN-Series có thể được triển khai trong các môi trường container được lưu trữ trên máy chủ như GKE, AKS, Amazon EKS và Red Hat OpenShift®.
  • On-Premises: Tường lửa CN-Series cũng có thể được triển khai vào môi trường Kubernetes được lưu trữ On-Premises.

4.5. Quản lý an ninh tập trung

  • Quản lý nhất quán: Quản lý CN-Series từ Panorama – cùng bảng điều khiển quản lý mà bạn sử dụng cho tường lửa dạng ảo hóa và phần cứng của Palo Alto Networks.
  • Kiến trúc plugin: Panorama plugins cho GKE, AKS, Amazon EKS và OpenShift cho phép bạn quản lý bảo mật mạng cho từng môi trường từ Panorama.
  • Ghi nhật ký tập trung: Panorama ghi nhật ký tập trung để đơn giản hóa việc kiểm tra và tuân thủ.
Linh Vu Thuy

Linh Vu Thuy