Контейнерные межсетевые экраны Palo Alto серии CN

Контейнерные межсетевые экраны серии CN

Предотвращайте угрозы в средах Kubernetes с помощью ведущего в отрасли межсетевого экрана следующего поколения

Контейнерный брандмауэр Palo Alto Networks серии CN – это первый в отрасли брандмауэр следующего поколения (NGFW), поставляемый в контейнерном форм-факторе и изначально интегрированный в Kubernetes ®. Контейнерные межсетевые экраны предотвращают распространение сетевых угроз через границы пространства имен Kubernetes.

Контейнерные межсетевые экраны серии CN предоставляют:

• Встроенную сетевую безопасность для улучшения доступности и защиты границ пространства имен Kubernetes с помощью служб безопасности, таких как защита от угроз и фильтрация URL-адресов.
• Гибкие параметры конфигурации и развертывания, позволяющие администраторам автоматизировать внедрение системы безопасности и использовать возможности автомасштабирования Kubernetes.
• Облачные и локальные инструменты для проектирования публичных, частных и гибридных облачных систем.
• Централизованное управление безопасностью с помощью Panorama для унификации оборудованием и управления виртуальными межсетевыми экранами Palo Alto Network, а также службами безопасности Amazon Web Services, Google Cloud, Microsoft Azure Kubernetes Services и Openshift.

Обзор

Контейнерный брандмауэр Palo Alto Networks серии CN – это первый в отрасли брандмауэр следующего поколения (NGFW), поставляемый в контейнерном форм-факторе и изначально интегрированный в Kubernetes ®. Брандмауэры контейнеров предотвращают распространение сетевых угроз через границы пространства имен Kubernetes.

Обычные NGFW могут быть развернуты только на границе среды Kubernetes и, следовательно, не могут определить конкретный модуль, от которого исходит трафик. Чтобы решить эту проблему, контейнерные межсетевые экраны серии CN обеспечивают безопасность внутри среды Kubernetes, предоставляя полный контроль над контейнерным трафиком.

Серия CN обеспечивает видимость и контроль трафика на 7-м уровне модели OSI, обеспечивая при этом применение передовых служб безопасности, таких как предотвращение вторжений. Эта защита может быть применена к разрешенному трафику, пересекающему границы пространства имен внутри кластеров Kubernetes или между ними, в том числе между контейнерными приложениями и другими хостами, такими как виртуальные машины и физические серверы.

Брандмауэры серии CN легко развертываются с помощью оркестрации Kubernetes, позволяя администраторам настраивать сетевую безопасность с использованием тех же процессов и технологий, которые они используют для управления остальной частью своих сред. Управление брандмауэрами серии CN осуществляется централизовано через Panorama – той же консоли управления, что и все брандмауэры Palo Alto Networks, — предоставляя единый инструмент управления общим состоянием сетевой безопасности своих организаций.

Как работает серия CN

Брандмауэры серии CN развертываются в виде наборов двух модулей: один для уровня управления (CN-MGMT), а другой для уровня данных брандмауэра (CN-NGFW). Модуль управления всегда работает как служба Kubernetes. Модули уровня данных могут быть развернуты в двух режимах: распределенном или кластерном. В распределенном режиме передающий уровень брандмауэра работает как демон, установленный на каждом узле. Администраторы могут развертывать брандмауэры на всех узлах кластера с помощью одной команды, размещая элементы управления безопасностью как можно ближе к рабочим нагрузкам. В режиме кластерного развертывания передающий уровень брандмауэра работает как служба Kubernetes в выделенном узле безопасности. При развертывании в кластерном режиме CN-Series использует собственные возможности автоматического масштабирования Kuberenetes для обеспечения защиты от угроз даже в самых динамичных средах Kubernetes. Кластерные развертывания лучше всего подходят для больших сред Kubernetes, где распределенное развертывание было бы ресурсоемким и дорогостоящим.

Брандмауэры серии CN управляются с помощью консоли Panorama. Плагин Kubernetes в Panorama предоставляет контекстную информацию о контейнерах в среде и это позволяет легко использовать контекстные политики сетевой безопасности. Например, пространства имен Kubernetes можно использовать для определения источника трафика в политике брандмауэра.

Брандмауэры серии CN можно развертывать в средах Kubernetes, размещенных как локально так и в общедоступных облаках. Также они могут быть развернуты в облачных сервисах Kubernetes, включая Google Kubernetes (GKE ®), службу Azure Kubernetes (AKS) и службу Amazon Elastic Kubernetes (EKS).

Развертывание с помощью менеджеров пакетов Kubernetes, таких как Helm, также доступно и поддерживается сообществом. 

Режим распределённого развёртывания (Набор демонов)

Рисунок 1: Режим распределенного развертывания. Модуль обработки данных брандмауэра работает как демон, установленный на каждом узле.

Кластерное развертывание (служба Kubernetes)

Рисунок 2: Режим развертывания кластера. Модуль обработки данных брандмауэра работает как служба Kubernetes в выделенном узле безопасности.

Примеры использования серии CN

Предотвращение эксфильтрации данных из сред Kubernetes

Брандмауэры серии CN предоставляют множество возможностей для предотвращения утечки конфиденциальных данных из сред Kubernetes. Проверка содержимого трафика, включая проверку SSL-трафика, гарантирует, что пакеты с вредоносной полезной нагрузкой, будут идентифицированы и устранены. Фильтрация URL-адресов запрещает исходящие подключения к потенциально опасным веб-сайтам, включая хранилища вредоносного кода.

Предотвращение бокового распространения угроз через границы пространства имен Kubernetes

Границы доверия между приложениями являются логическими местами для применения политик сегментации, которые предотвращают боковое перемещение угроз. Во многих средах Kubernetes границей доверия как раз является пространство имен Kubernetes. Брандмауэры серии CN могут применять политики предотвращения угроз между пространствами имен Kubernetes, а также между пространством имен Kubernetes и другими типами рабочей нагрузки (например, виртуальными машинами и физическими серверами), чтобы предотвратить перемещение угроз между вашими облачными приложениями и legacy-инфраструктурой.

Предотвращайте как известные, так и неизвестные угрозы

Как и многие приложения, атаки могут использовать любой порт, что ограничивает эффективность средств управления сетевой безопасностью на основе портов. С помощью политик безопасности, ориентированных на приложения, брандмауэры серии CN дополняют базовые средства контроля доступа на основе портов и проверяют сетевой трафик чтобы гарантировать что через открытые порты разрешены только разрешенные приложения.

Включив интегрированные облачные сервисы по подписке, вы сможете повысить свои возможности безопасности без ущерба для производительности. Включение служб предотвращения угроз и предотвращения выполнения вредоносного кода WildFire ® в брандмауэре серии CN защищает вашу среду Kubernetes от любых файловых угроз, включая эксплойты, вредоносные программы, шпионские программы и ранее неизвестные угрозы, пытающиеся проникнуть через открытые порты. Кроме того, развертывание служб URL Filtering и DNS Security защищает вашу инфраструктуру от веб-угроз, включая фишинг, захват управления и контроля, а также кражу данных.

Основные возможности серии CN

Независимо от потребностей в защите вашей контейнерной среды, серия CN создана для обеспечения безопасности.

Доступность приложений и предотвращение онлайн-угроз

Видимость и контроль приложений: Получите мгновенную видимость трафика приложений в вашей среде Kubernetes. Определите политики на основе приложений для управления трафиком и применения рекомендаций Zero Trust.

Предотвращение угроз и песочница: На брандмауэрах серии CN можно включить службы Threat Prevention и WildFire, чтобы блокировать эксплойты, предотвращать выполнение вредоносных программ и останавливать как известные, так и неизвестные угрозы.

Предотвращение кражи данных и фильтрация URL-адресов: Серия CN позволяет проверять содержимое и расшифровывать SSL, предотвращая выход конфиденциальной информации из вашей сети. Фильтрация URL-адресов использует машинное обучение для классификации URL-адресов и блокирования доступа к вредоносным сайтам, которые доставляют вредоносное ПО или крадут учетные данные. Автоматизация гарантирует, что средства защиты всегда актуальны.

Автоматизированная масштабируемость и настройка

Автоматическое масштабирование с помощью Kubernetes: Брандмауэры серии CN могут использовать возможности автоматического масштабирования Kubernetes для обеспечения защиты даже в самых динамичных средах.

Гибкая модель политики на основе тегов: Политики брандмауэра серии CN могут определяться приложением, пользователем, контентом, собственными метками Kubernetes и другими метаданными для предоставления гибких политик, соответствующих потребностям бизнеса.

Удобная для DevOps конфигурация: Вся конфигурация брандмауэров серии CN указана в файле YAML и может быть легко интегрирована в файлы развертывания инфраструктуры для быстрого и повторяемого развертывания. Шаблоны конфигурации можно найти в официальном репозитории Palo Alto на GitHub.

Диаграмма управления Kubernetes, поддерживаемая сообществом: Для команд разработчиков, использующих Helm для управления приложениями Kubernetes, была создана диаграмма управления серии CN для упрощения развертывания и управления брандмауэром.

Гибкое развертывание и последовательная интеграция CNI

Гибкие варианты развертывания: Клиенты могут выбрать развертывание брандмауэров серии CN в распределенном или кластерном режимах, в зависимости от их варианта использования, бюджета и конфигурации среды.

Простая сетевая интеграция: Серия CN поддерживает несколько плагинов сетевого интерфейса контейнера (CNI) для использования в различных типах развертываний Kubernetes.

Локальная и облачная поддержка Kubernetes

Облачно: Брандмауэры серии CN могут быть развернуты в контейнерных средах, таких как GKE, AKS, Amazon EKS и Red Hat OpenShift ®. Подробную информацию о поддержке платформы см. в таблице 1.

Локально: Брандмауэры серии CN также могут быть развернуты в средах Kubernetes, размещенных локально.

Централизованное Управление Безопасностью

Единое управление: Управляйте серией CN из Panorama – той же консоли управления, которую вы используете для брандмауэров вашего оборудования и виртуальных сетей форм—фактора Palo Alto.

Множество плагинов: Плагины Panorama для GKE, AKS, AmazonEKS и OpenShift позволяют управлять сетевой безопасностью для каждой среды из Panorama.

Централизованное ведение журнала: Panorama централизовано ведет журнал для упрощения аудита и соответствия требованиям.

Масштабируемость решений безопасности под неотложные требования — в считанные минуты

Сопоставьте программные брандмауэры и службы безопасности со скоростью и гибкостью, необходимыми для быстро меняющихся требований. Увеличьте рентабельность инвестиций в безопасность с помощью наиболее гибкого в отрасли способа внедрения программного обеспечения NGFW и служб безопасности. Откройте для себя непревзойденную гибкость благодаря простому масштабированию виртуальных машин серии VM и контейнерных NGFW серии CN, облачным службам безопасности и консоли Panorama для управления и сбора журналов.

Три простых шага позволят вам выбрать и развернуть правильные брандмауэры и службы безопасности, которые вам нужны в любой момент времени:

1. Приобретите Кредиты NGFW на программное обеспечение.
2. Распределите или перераспределите кредиты между различными развертываниями, чтобы активировать выбранные вами продукты безопасности и выбранные вами службы безопасности всего за несколько минут.
3. Управляйте и контролируйте кредиты через портал поддержки клиентов Palo Alto Networks.

По мере изменения потребностей кредиты NGFW на программное обеспечение могут быть перераспределены на новые и другие решения брандмауэра без необходимости проходить дополнительные циклы закупок.

Ключевые показатели Эффективности

Тестирование проводилось на GKE, с трафиком, направленным между узлами и между площадками на одном и том же узле в одном кластере.

Требования к процессору и памяти

В таблице 3 показаны системные требования для кластера, в котором развернута серия CN. Это общие рекомендации. Параметры процессора, памяти и дискового хранилища будут зависеть от ваших потребностей.

Масштабируемость компонентов

В таблице 4 перечислены параметры масштабируемости различных компонентов серии CN, а в таблице 5 перечислены параметры плагина Panorama Kubernetes.