导语:在边缘网络,SDN和其他服务中,安全隐患在所有网络环境中仍然很突出。从行业内部人士那里获得一些提示。
网络安全是一项挑战,其中涉及与环境成正比的复杂性。保护子网,交换机,路由器和防火墙是一个相当传统的领域,但是使用诸如边缘网络,软件定义的网络(SDN)和其他新式服务之类的概念来提高安全性是很困难的。
techrepublic的记者ScottMatteson与RedHatLinux的NFV技术总监TomNadeau和网络分析提供商Gigamon的产品与技术营销工程副总裁BassamKhan讨论了这些概念。
ScottMatteson:在边缘网络,SDN内部以及服务之间普遍存在哪些安全问题?
TomNadeau:根据techrepublic们的部署经验,最大的安全隐患似乎来自平台的配置方式,如何构建和执行容器化工作负载以及平台本身的审核。在平台配置方面,techrepublic们大力推动OpenShift4.0专注于运营和管理增强。除此之外,techrepublic们还改进了操作员框架,该框架实质上标准化了如何安装,启动,操作容器工作负载(即处理事件,自动缩放等)和关闭容器工作负载。
我们还在通用基础映像(UBI)上做了大量工作,该结构良好且自动化程度很高,它为容器创建了众所周知的安全基础,可以在以后无需任何操作员干预的情况下进行更新和修补,从而自动保持提供最新补丁程序,包括围绕安全性的补丁程序。最后,techrepublic们还在内部积极创建techrepublic们的容器网络功能认证计划,这将是一种验证和认证techrepublic刚才描述的所有事情的方式。
BassamKhan:随着公共网络越来越接近以前的“东西向”数据,边缘网络将遭受威胁和风险,很可能会在网络,应用程序和系统中传播,如果受到威胁,将给组织造成更大的破坏。此外,如果未正确保护交换机,路由器和服务器,则许多信息可能会受到影响。尽管SDN为网络带来了许多好处,但它带来了新的威胁,例如虚拟化和云环境中的攻击面。
ScottMatteson:解决这些问题的建议补救措施是什么?
BassamKhan:有很多建议的安全措施来保护边缘网络和SDN。这些包括对数据进行加密,对网络进行微分段以支持不同类型的应用程序,隧道和访问控制方法等等。最后,完整的上下文感知L3-7可视性,提供了应用程序的多维概览:网络上运行的应用程序的可视化,标志和过滤,具有丰富的属性/元数据提取和分析功能,可检查网络,应用程序和网络的行为。用户至关重要。
ScottMatteson:Kubernetes如何改变网络?
TomNadeau:Kubernetes不仅改变了微服务和容器的格局,而且改变了市场对容器化平台可以做什么的看法。其他竞争平台仍然坚持使用过于简化的网络模型,就像最初的模型Kubernetes平台一起推向市场一样。具体地说,这是一个单一的虚拟化接口,呈现给容器,几乎没有任何关于如何配置的选项。
更糟糕的是,该接口采用了本地化的网络地址转换映射,因为它们最终都被映射到单个基础物理接口。每个容器一个接口的模型还人为地限制了其他配置,包括多播或虚拟网络功能(例如虚拟路由器),这些功能依赖于对多个接口的访问才能执行其设计要执行的功能。
BassamKhan:随着组织拥抱容器,Kubernetes在为应用程序构建弹性和可扩展的分布式系统中扮演着关键角色。Kubernetes为联网中的每个Pod分配了自己的IP地址,这使Pod无需使用NAT即可相互通信。此外,Kubernetes允许在不同应用程序之间共享机器并解决整个网络中的各种问题,从而简化了网络连接。
ScottMatteson:涉及哪些优势?
TomNadeau:为了解决这些缺陷,techrepublic们已经与上游社区,techrepublic们的合作伙伴和客户进行了合作,以开发出解决上述缺陷的新技术。其中包括Multus,它增加了将多个全速网络接口连接到容器的支持。techrepublic们进一步创建了virtio/vDPA,以顺应将网络转发/处理操作卸载到网络接口卡(NIC)的趋势,但同时也简化并统一了容器如何以需要的方式连接到这些资源一个配置点,而不是多个配置点。
techrepublic们还进行了许多SR-IOV增强,以帮助实现这一新功能。最后,techrepublic们还将操作员纳入操作员框架中,以解决techrepublic们收到的有关配置和操作容器,底层系统以及将它们全部连接在一起的网络的复杂性的操作反馈。
BassamKhan:Kubernetes的主要优点是每个Pod都有自己的IP地址。这样可以在Pod,Pod和服务以及容器之间轻松,顺畅且安全地进行通信。此外,它为干净的模型让路,因为现在无需将主机和Pod映射,因为每个Pod现在都像VM一样被查看。
ScottMatteson:Kubernetes未来将如何发展?
TomNadeau:techrepublic们正在各个领域努力工作,包括通过与地球上几乎每一个NIC供应商紧密合作来扩大vDPA的覆盖范围,以在该区域和上游提供支持。techrepublic们还积极增强Multus的功能,例如IPv6支持,其他多播功能以及其他扩展功能。techrepublic们还将继续加强运营商。techrepublic们正在围绕所谓的智能NIC的可能性进行一些令人兴奋的新增强:具有辅助CPU/NPU复合体的NIC,用于增强的硬件卸载处理用例。最后,techrepublic们在实时处理,时序和相关增强方面都在虚拟无线电区域网(vRAN)和移动边缘计算(MEC)领域中做了大量工作,以支持这些用例。
BassamKhan:尽管Kubernetes正在改变网络世界,但它仍然是新事物,并且在未来仍有很大发展空间。主要挑战之一是适应该系统的复杂性。该网络需要重新设计以前的用户的基础结构,因此需要客户花费金钱和时间,这使得该系统有点不可取。随着系统的发展和新的流行,也存在安全风险。将来,Kubernetes将需要寻找一种更简便的方法来适应系统并增加更好的安全措施。