FQDN-filtrering för förbättrad säkerhet med Advanced Container Networking Services
Översikt över FQDN-filtrering
Advanced Container Networking Services (ACNS) erbjuder avancerade observerbarhets- och säkerhetsfunktioner för att hantera komplexiteten i att underhålla mikrotjänstinfrastrukturen för användare som vill hantera dessa problem i stor skala.
Containerbaserade miljöer medför unika säkerhetsutmaningar. Traditionella nätverkssäkerhetsmetoder, som ofta är beroende av IP-baserad filtrering, kan bli besvärliga och mindre effektiva när IP-adresser ofta ändras. Dessutom kan det vara komplicerat att förstå nätverkstrafikmönster och identifiera potentiella hot.
FQDN-filtrering erbjuder en effektiv och användarvänlig metod för att hantera nätverksprinciper. Genom att definiera dessa principer baserat på domännamn i stället för IP-adresser kan organisationer avsevärt förenkla processen för principhantering. Den här metoden eliminerar behovet av frekventa uppdateringar som vanligtvis krävs när IP-adresser ändras, vilket minskar den administrativa bördan och minimerar risken för konfigurationsfel.
I ett Kubernetes-kluster kan podd-IP-adresser ändras ofta, vilket gör det svårt att skydda poddarna med säkerhetsprinciper med ip-adresser. Med FQDN-filtrering kan du skapa principer på poddnivå med hjälp av domännamn i stället för IP-adresser, vilket eliminerar behovet av att uppdatera principer när en IP-adress ändras.
Kommentar
Azure CNI som drivs av Cilium och Kubernetes version 1.29 eller senare krävs för att kunna använda säkerhetsfunktioner i Advanced Container Networking Services som FQDN-filtrering.
Komponenter i FQDN-filtrering
Cilium Agent: Cilium Agent är en viktig nätverkskomponent som körs som en DaemonSet i Azure CNI-kluster som drivs av Cilium. Den hanterar nätverks-, belastningsutjämnings- och nätverksprinciper för poddar i klustret. För poddar med framtvingade FQDN-principer omdirigerar Cilium-agenten paket till DNS-proxyn för DNS-matchning och uppdaterar nätverksprincipen med hjälp av FQDN-IP-mappningarna som hämtas från DNS-proxyn.
ACNS DNS-proxy: ACNS DNS-proxy körs som DaemonSet i Azure CNI som drivs av Cilium-kluster med avancerade containernätverkstjänster aktiverade. Den hanterar DNS-matchning för poddar och vid lyckad DNS-matchning uppdaterar den Cilium Agent med FQDN till IP-mappningar.
Så säkerställer ACNS DNS-proxyn hög tillgänglighet
ACNS DNS-proxy som körs separat från Cilium-agenten säkerställer att poddar fortsätter att ha DNS-matchning även om Cilium-agenten är nere eller genomgår en uppgradering. Med kubernetes maxSurge-uppgraderingsfunktion fungerar DNS-proxyn under uppgraderingar. Den här komponenten garanterar att nätverksanslutningen för viktiga kundarbetsbelastningar inte störs av DNS-lösningsproblem.
Kommentar
Hög tillgänglighet gäller för DNS-namnmatchning och inte principtillämpning. Om Cilium-agenten slutar fungera fortsätter befintliga principer baserat på de senast lösta IP-adresserna att tillämpas. Men eventuella IP-adressändringar just nu, även om de matchas av DNS, uppdateras inte i principerna förrän Cilium-agenten är i drift igen.
Så här fungerar FQDN-filtrering
När FQDN-filtrering är aktiverat utvärderas FÖRST DNS-begäranden för att avgöra om de ska tillåtas varefter poddar endast kan komma åt angivna domännamn baserat på nätverksprincipen. Cilium-agenten markerar DNS-begärandepaket som kommer från poddarna och omdirigerar dem till DNS-proxyn. Den här omdirigeringen sker endast för poddar som tillämpar FQDN-principer.
DNS-proxyn avgör sedan om en DNS-begäran ska vidarebefordras till DNS-servern baserat på principvillkoren. Om det tillåts skickas begäran till DNS-servern, och när du tar emot svaret uppdaterar DNS-proxyn Cilium-agenten med FQDN-mappningar. På så sätt kan Cilium-agenten uppdatera nätverksprincipen i principmotorn. Följande bild illustrerar det övergripande flödet av FQDN-filtrering.
Viktiga fördelar
Skalbar hantering av säkerhetsprinciper: Kluster- och säkerhetsadministratörer behöver inte uppdatera säkerhetsprinciper varje gång en IP-adress ändras, vilket gör åtgärderna mer effektiva.
Förbättrad säkerhetsefterlevnad: FQDN-filtrering stöder en säkerhetsmodell utan förtroende. Nätverkstrafiken är begränsad till betrodda domäner som endast minskar riskerna med obehörig åtkomst.
Elastisk principtillämpning: DNS-proxyn som implementeras med FQDN-filtrering säkerställer att DNS-matchningen fortsätter sömlöst även om Cilium-agenten slutar fungera och principerna fortsätter att tillämpas. Den här implementeringen säkerställer kritiskt att säkerhet och stabilitet upprätthålls i dynamiska och distribuerade miljöer.
Nästa steg
Lär dig hur du aktiverar FQDN-filtrering på AKS.
Utforska hur communityn med öppen källkod skapar Cilium-nätverksprinciper.
Kommentar
Cilium stöder ytterligare alternativ för nätverksprinciper som inte stöds för AKS just nu. Nätverksprinciper som inte stöds som tillämpas på klustret blockeras. Blockerade nätverksprinciper kan tillämpas på klustret, men de tillämpas inte av Cilium-agenten.
Mer information om Advanced Container Networking Services för Azure Kubernetes Service (AKS) finns i Vad är Advanced Container Networking Services för Azure Kubernetes Service (AKS)?.
Utforska mer av observerbarhetsfunktionerna i Advanced Container Networking Services i Vad är Advanced Network Observability?.
Azure Kubernetes Service