技术博客
Trevor_Pott , Visitor
技术博客
将安全措施扩展到所有连接点:借助 cSRX 实现容器化安全
Sep 5, 2019

容器作为一种占用空间很小的基础架构,可以用来运行各种微服务,这层基础架构也需要安全保护。借助 Juniper Connected Security,企业可以为容器化工作负载提供业界领先的安全性,实现可见性和安全措施实施的全方位覆盖——往下深入到应用内各种微服务之间的通信。

 

容器与 IT 的所有方面一样,需要得到保护,管理员需要了解出入这些容器的数据流。整体式应用要想扩展,不仅难度大,而且效率十分低下。因此,在过去的二十年里,这一难题促使人们将应用分解为多种微服务,而微服务一直在推动容器的采用。

 

随着软件定义网络 (SDN) 控制器的出现,例如 Contrail,瞻博网络的容器化 SRX (cSRX) 增加了参与网络功能服务链的能力。cSRX 相当于是两个数据流与目标容器之间线路中的块,它通过增加一些以前不存在的安全实施点,可以为目前可用的 Docker 容器提供高水平的网络安全。有了 Contrail,开发人员现在可以明显看到安全性增强。

 

cSRX 还提供了进一步的网络可见性,使组织能够更快地响应新出现的威胁。它可以根据需要为各个容器化应用或微服务提供自己的下一代防火墙,甚至全网安全服务链。

 

 

cSRX 容器防火墙的优势

 

  • 专为保护容器安全而打造cSRX 是业内优秀的容器化防火墙。cSRX 特意抛弃了 vSRX 或硬件 SRX 防火墙的动态路由或网络功能,以保持灵活性。在容器化环境中,可以根据需求快速创建和销毁工作负载。时不我待,cSRX 极短的实例化时间对客户来说是一个重大优势。

 

  • 占用空间小、敏捷度高:cSRX 防火墙实例可以在几秒钟内实例化,并且容器化应用的占用空间很小。这是通过采用微服务的方法提供容器化安全来实现的。

 

  • 抵御日益复杂的威胁态势:cSRX 集成了高级威胁防护等功能,以及基于威胁源的 IP URL 阻止功能。这使得它不仅成为堪称容器化部署典范的简单防火墙,而且还是容器化基础架构的核心部分。

 

  • 支持新兴技术:cSRX 占用空间小,实例化速度快,可以灵活地为新兴技术提供服务,例如,为 5G 信号发射塔提供基础支持的微型数据中心。

 

  • 体量小,可以内置到物联网设备中:将统一威胁管理和业界领先的防火墙打包成适合容器化的体量,实例化只需数秒,使 cSRX 能够为资源受限的设备提供保护,并大规模运行。每个实例即便只节省几兆 RAM,却能聚沙成塔。

 

  • 使用隐式区域:cSRX 支持将流量分段到区域,这样将可以利用单个 cSRX 容器来保护多个容器化应用或微服务,而且每个应用或微服务都有自己的自定义安全配置,从而进一步减少了 cSRX 占用的空间。

 

  • 参与网络功能服务链:通过参与网络功能服务链,cSRX 可以提供高可用性,而且容器化的安全性让您可以根据需求扩展单个网络功能。

 

Juniper Connected Security

 

与连接点相比,还有什么更好的地方适合检查流量是否存在受到威胁的迹象并加强安全措施呢?

    

Juniper Connected Security 集成了网络和信息安全产品,允许在网络中的多个点进行威胁检测和策略实施。Juniper Connected Security 提供外围防御、云防御、网络分段,以及虚拟化和容器化安全,甚至是边缘计算防御。

 

使微分段成为现实

 

Contrail 提供先进的微分段功能已有一段时间。然而,微分段可能是一笔昂贵的开销。微分段是虚拟网段或基于规则的包含组,适用于封装构成单个应用或占用单个层的所有微服务。每个微分段实际上都是自己的小型网络,为了在该分段之外进行通信,数据流必须遍历路由器。有了 Contrail,该路由器便成了 vRouter,它会分发给每个计算主机。

 

由于数据需要进出微分段以遍历路由器,因此形成了一些自然阻塞点,可能就需要在这些位置实施网络功能。传统上,这些网络功能需要昂贵的硬件,并且每个数据流必须通过各种硬件发送到容器化主机之外,然后再发送到目的地。

 

针对容器的 Contrail 服务链和 cSRX 改变了这一切。可以应用于服务链的网络功能包括:

    

  • 应用程序防火墙 (AppFW)
  • 应用 ID (AppID)
  • 入侵防御系统 (IPS)
  • 网络地址转换 (NAT)
  • 统一威胁管理 (UTM)
  • 增强型 Web 筛选 (EFW)
  • 筛选

    

借助 cSRXContrail 可以创建特别小的微分段,外围十分稳固,能够快速实例化网络功能服务链以保护每个微分段。整个服务链只需几秒就能组建好,微分段和所有必要的网络功能将可以比构成它们所防御应用的容器或虚拟机更快地投入使用。

 

cSRX Contrail 企业多云搭配使用,首开生产级解决方案的先例,通过执行涵盖了编排、自动化、安全和分析的全套扩展,能够以成本和资源有效的方式将动态消费者服务和企业服务部署到容器空间。在应用于像 OpenShift Kubernetes 这样的容器化应用平台时,Contrail 企业多云包括了 Contrail Networking Contrail Security 控制器、支持第 4 层安全的 Contrail vRouter、支持第 7 层安全的 cSRX / vSRXAppFormix Analytics Agent 以及 Kubernetes CNI 插件。 1ZH-CN1.PNG

 

 Juniper Connected Security 将安全性扩展到了云原生应用所在环境,以在私有云、公有云和物联网基础架构中提供一致的策略。瞻博网络的 cSRX 容器防火墙提供了一套功能强大且特定于虚拟化的高级安全服务,可保护容器化应用和微服务,并且体量小,甚至可供制造商在物联网设备上部署。

 

cSRX 功能丰富,为管理员提供了他们熟悉的功能和管理界面,以方便他们使用我们的 vSRX 和硬件 SRX 防火墙。cSRX Juniper Connected Security 中发挥着至关重要的作用,可在资源受限的环境中为单个单个的设备和工作负载提供安全保护。

 

保护当今的网络需要在整个网络中部署多个安全实施点,并且要求高可见性,以确保对任何位置出现的威胁立即采取行动。借助 Juniper Connected Security 进行监控、自动执行操作并实施保护。

0 Kudos