Các giải pháp bảo mật mạng truyền thống không được thiết kế để cung cấp khả năng bảo vệ đầy đủ cho các ứng dụng dựa trên microservices. Khi các doanh nghiệp tiếp tục phát triển nhanh hơn, nhóm an ninh mạng cần theo kịp quá trình triển khai ứng dụng hiện đại, linh hoạt để bảo vệ khỏi các tác nhân độc hại.
Tường lửa container Palo Alto Networks CN-Series là tường lửa thế hệ tiếp theo tốt nhất được xây dựng nhằm mục đích bảo vệ môi trường Kubernetes khỏi các cuộc tấn công dựa trên mạng. Tường lửa CN-Series cho phép các nhóm bảo mật mạng có được khả năng hiển thị ứng dụng trong môi trường Kubernetes, mở rộng bảo mật mạng một cách linh hoạt mà không ảnh hưởng đến tốc độ và tính linh hoạt của DevOps, đồng thời phù hợp với nhu cầu của các nhóm DevOps hiện đại để dễ dàng quản lý CN-Series.
NGFW CN-Series sử dụng công nghệ App-ID đã được cấp bằng sáng chế của Palo Alto Networks để xác định cả ứng dụng và nội dung trong kết nối, cung cấp khả năng kiểm tra nội dung đầy đủ thay vì kiểm soát truy cập Lớp 3/Lớp 4 của tường lửa truyền thống. Các biện pháp kiểm soát và phân tích sâu hơn được cung cấp thông qua các dịch vụ bảo mật dựa trên đám mây nâng cao, chẳng hạn như URL Filtering, Threat Prevent, WildFire, và DNS Security.
NGFW thông thường chỉ có thể được triển khai ở biên của môi trường Kubernetes và do đó không thể xác định ứng dụng cụ thể nơi lưu lượng truy cập bắt nguồn. Để vượt qua thách thức này, CN-series container firewalls chuyển bảo mật vào môi trường Kubernetes, mang lại cho chúng khả năng hiển thị và kiểm soát chính xác lưu lượng vùng chứa.
2. Tường lửa CN-Series hoạt động như thế nào?
Tường lửa CN-Series triển khai dưới dạng hai nhóm pod: một cho mặt phẳng quản lý (CN-MGMT) và một cho mặt phẳng dữ liệu tường lửa (CN-NGFW). Nhóm quản lý luôn chạy như một dịch vụ Kubernetes. Các nhóm mặt phẳng dữ liệu có thể được triển khai ở hai chế độ: Dịch vụ Daemonset hoặc Kubernetes.
Trong chế độ triển khai Dịch vụ Kubernetes, mặt phẳng dữ liệu tường lửa chạy như một dịch vụ Kubernetes trong một node bảo mật chuyên dụng. Khi được triển khai ở chế độ Dịch vụ Kubernetes, CNSeries tận dụng khả năng tự động mở rộng vốn có của Kubernetes để đảm bảo bảo vệ khỏi mối đe dọa ngay cả trong những môi trường năng động nhất. Việc triển khai dịch vụ Kubernetes phù hợp nhất với môi trường Kubernetes lớn, nơi việc triển khai phân tán sẽ tốn nhiều tài nguyên và tốn kém chi phí.
Hình 1: Chế độ triển khai phân tán. Mặt phảng dữ liệu tường lửa chạy như một daemon set trên mỗi node.
Hình 2: Chế độ triển khai cụm Cluster. Mặt phảng dữ liệu tường lửa chạy như một dịch vụ Kubernetes trong một node bảo mật chuyên dụng.
Thông qua bảng điều khiển Panorama, quản trị viên bảo mật mạng có thể sử dụng nhãn Kubernetes trong cụm, chẳng hạn như namespaces, để tạo chính sách bảo mật chi tiết nhằm xác định khối lượng công việc.
Khách hàng có thể triển khai tường lửa CN-Series trong môi trường Kubernetes hosted on-premises hoặc trên đám mây công cộng. Tường lửa CN-Series cũng có thể được triển khai vào các dịch vụ Kubernetes được quản lý trên nền tảng đám mây, bao gồm Google Kubernetes Engine (GKE®), Azure Kubernetes Service (AKS) và Amazon Elastic Kubernetes Service (EKS) cũng như các môi trường on-premises bao gồm RedHat OpenShift. Triển khai đơn giản bằng một cú nhấp chuột thông qua trình quản lý gói Kubernetes, chẳng hạn như Helm, cũng có sẵn và được cộng đồng hỗ trợ.
CN-Series được triển khai ở chế độ CNF
Dành cho các tổ chức không chỉ hiện đại hóa ứng dụng mà còn hiện đại hóa cơ sở hạ tầng của họ. Bản phát hành PAN-OS 10.2 đã giới thiệu chế độ triển khai thứ ba được gọi là chế độ CNF. Với chế độ triển khai CNF, CN-Series có thể bảo vệ cả khối lượng công việc nằm trong môi trường container và không nằm trong môi trường container. Chế độ triển khai này làm cho CN-Series trở thành tường lửa 5G được đóng gói duy nhất có thể mở rộng tới 47 vCPU và có thể bảo mật lưu lượng truy cập hiệu quả hơn với hiệu suất tăng gấp 5 lần.
Hình 3: Chế độ triển khai CNF.
3. Các trường hợp sử dụng của tường lửa CN-Series
3.1. Ngăn chặn việc rò rỉ dữ liệu từ môi trường Kubernetes
Tường lửa CN-Series cung cấp nhiều khả năng bảo mật để ngăn chặn việc rò rỉ dữ liệu nhạy cảm khỏi môi trường Kubernetes. Dịch vụ lọc URL nâng cao cung cấp các biện pháp bảo vệ cho nhà phát triển và những người dùng khác để đảm bảo rằng họ không kết nối với các trang web độc hại tiềm ẩn. Khả năng kiểm tra nội dung lưu lượng truy cập của tường lửa, cùng với dịch vụ Bảo mật DNS của Palo Alto bảo vệ chống lại việc đánh cắp dữ liệu để đảm bảo thông tin quan trọng vẫn ở trong môi trường nơi nó thuộc về.
3.2. Ngăn chặn sự lây lan của các mối đe dọa trên ranh giới Kubernetes Namespace
Trong nhiều môi trường Kubernetes, namespace Kubernetes là ranh giới tin cậy. Tường lửa CN-Series có thể được chèn để cung cấp khả năng bảo vệ lưu lượng ứng dụng và bảo vệ mối đe dọa nâng cao vào môi trường Kubernetes nhằm đảm bảo các kết nối được phép giữa hai ứng dụng được đóng gói trong vùng chứa có mức độ tin cậy khác nhau. CN-Series cũng có thể bảo mật các kết nối được phép giữa các container và các loại khối lượng công việc khác.
3.3. Ngăn chặn các mối đe dọa Inbound đã biết và chưa biết
Giống như nhiều ứng dụng, các cuộc tấn công có thể sử dụng bất kỳ cổng nào, điều này làm hạn chế tính hiệu quả của các biện pháp kiểm soát bảo mật mạng dựa trên cổng. Với các chính sách bảo mật tập trung vào ứng dụng, tường lửa CN-Series tăng cường các biện pháp kiểm soát truy cập dựa trên cổng cơ bản và kiểm tra lưu lượng mạng để đảm bảo chỉ những ứng dụng được phép mới được phép trên các cổng mở.
Các nhóm bảo mật mạng có thể ngăn chặn các mối đe dọa trên lưu lượng truy cập vào môi trường vùng chứa bằng các dịch vụ phân tích phần mềm độc hại Threat Prevention và Wildfire của Palo Alto. Việc bật các dịch vụ Threat Prevention và Wildfire trên tường lửa CN-Series sẽ bảo vệ môi trường Kubernetes của bạn trước mọi mối đe dọa dựa trên tệp, bao gồm hoạt động khai thác, phần mềm độc hại, phần mềm gián điệp và các mối đe dọa chưa biết trước đó, cố gắng lẻn qua các cổng mở.
4. Các ích lợi chính của tường lửa CN-Series
4.1. Khả năng hiển thị ứng dụng và Inline Threat Prevention
4.2. Khả năng mở rộng và cấu hình tự động
4.3. Triển khai linh hoạt và tích hợp CNI nhất quán
4.4. Hỗ trợ On-Premises và đám mây cho Kubernetes
4.5. Quản lý an ninh tập trung